GitHub, 엔터프라이즈 사용자를 위해 전체 공개 GitHub 표면으로 시크릿 스캐닝 확대
GitHub이 Secret Protection을 통해 엔터프라이즈용 공개 모니터링을 도입합니다. 전체 github.com을 실시간으로 스캔하고, 유출된 시크릿을 조직으로 귀속시키며, PR 댓글과 Issues도 포함합니다. 추가 요금 없이 제공됩니다.
이 기사는 AI가 1차 출처를 기반으로 생성했습니다.
GitHub이 2026년 7월 1일 엔터프라이즈 사용자를 위한 시크릿 스캐닝 시스템의 중요한 확장을 발표했습니다. 공개 모니터링은 github.com의 전체 공개 표면을 모니터링하고 발견된 유출 시크릿을 실시간으로 조직에 귀속합니다. 이 기능은 GitHub Secret Protection 구독 사용자에게 추가 요금 없이 제공됩니다.
이것이 해결하는 문제는 무엇인가?
기존 GitHub 시크릿 스캐닝은 조직이 직접 소유한 저장소를 보호했습니다. 하지만 시크릿(API 키, 토큰, 비밀번호)은 종종 해당 경계 밖의 맥락에서 유출됩니다. 직원의 개인 포크, 직원이 개인으로 참여하는 오픈소스 프로젝트, 또는 완전히 관련 없는 저장소의 Issues와 풀 리퀘스트 댓글에서도 유출될 수 있습니다.
바로 여기에 사각지대가 생깁니다. 조직은 누군가의 업무용 API 키가 GitHub 어딘가의 공개 댓글에 게시된 것을 알지 못합니다. 악의적인 누군가가 먼저 발견하기 전까지는.
공개 모니터링의 작동 방식
새 기능은 git 콘텐츠, 풀 리퀘스트 댓글, GitHub Issues를 스캔합니다. 조직의 모 저장소만이 아니라 플랫폼에서 공개적으로 볼 수 있는 모든 것이 대상입니다. 시스템이 시크릿을 감지하면 어느 조직에 귀속시켜야 하는지 결정해야 합니다. 이를 위해 두 가지 방법을 사용합니다.
멤버 기반 귀속은 충분히 신뢰할 수 있는가?
멤버 기반 귀속은 콘텐츠를 커밋한 GitHub 계정이 엔터프라이즈 조직의 등록 멤버인지 확인합니다. GitHub이 언급한 대로 「관리되는 계정과 알려진 멤버」를 커버합니다. 이 방법은 정확하지만 한계가 있습니다. 조직과 연결되지 않은 개인 계정으로 GitHub에서 활동하는 직원은 감지하지 못합니다.
이것이 두 번째 방법인 검증된 도메인 매칭이 중요한 이유입니다. 시스템이 커미터의 이메일 주소를 조직이 GitHub 설정에서 검증한 도메인과 비교합니다. 직원이 개인 GitHub 계정에서 업무용 이메일 주소로 커밋하면 공식 멤버십 링크 없이도 발견 사항이 조직에 귀속됩니다. 각 발견 사항은 어떤 방법이 사용되었는지, 시크릿 유형, 공개 위치, 커미터 정보를 표시합니다.
구성 없음, 대기 없음
설정은 최소화되어 있습니다. 엔터프라이즈 소유자와 보안 관리자가 조직 설정의 Security 탭을 통해 기능을 활성화합니다. 추가 구성이 없습니다. 활성화 직후 최근 유출된 발견 사항이 표시되고 지속적인 모니터링이 시작됩니다. GitHub은 추가 도구 설치나 외부 시스템과의 통합을 요구하지 않습니다.
추가 요금 없음
이것은 중요한 항목입니다. 공개 모니터링은 기존 GitHub Secret Protection 구독에 추가 요금 없이 포함됩니다. Secret Protection을 이미 사용하는 조직의 경우 비용 변경 없이 커버리지를 확장하는 업그레이드입니다.
보안 팀에 갖는 의미
보안 및 DevSecOps 팀에게 이 변경은 가시성의 구체적인 공백을 채웁니다. 사용자나 외부 연구자가 문제를 보고할 때까지 기다리는 사후 대응 방식 대신, 조직은 플랫폼 전체 공개 표면을 모니터링하는 사전 예방적 모니터링을 받게 됩니다.
비공식적으로 연결된 계정에서도 작동하는 귀속 메커니즘이 특히 가치 있습니다. 개인 GitHub 프로필에서 업무용 이메일을 사용하다가 개인 프로젝트에 실수로 비밀 키를 커밋한 직원이 더 이상 레이더 아래에 있지 않습니다. 조직은 감지 방법과 신속한 대응에 필요한 모든 메타데이터를 명확히 표시한 실시간 발견 사항을 받게 됩니다.
규제 산업에서 운영되거나 민감한 클라이언트 데이터를 다루는 조직의 경우 이 수준의 커버리지는 점점 더 「있으면 좋은 것」에서 표준적인 최소 요건이 되어가고 있습니다.
자주 묻는 질문
- 엔터프라이즈를 위한 GitHub 시크릿 스캐닝에서 무엇이 정확히 새로운가요?
- GitHub이 이제 git 콘텐츠, 풀 리퀘스트 댓글, GitHub Issues를 포함해 github.com의 전체 공개 표면을 모니터링하고, 두 가지 메커니즘(멤버 기반 귀속과 검증된 도메인 매칭)을 통해 발견된 시크릿을 엔터프라이즈 조직으로 실시간 귀속합니다.
- GitHub은 유출된 시크릿이 어느 조직에 속하는지 어떻게 알 수 있나요?
- 두 가지 방법을 사용합니다. 멤버 기반 방법(커미터의 GitHub 계정이 엔터프라이즈의 등록 멤버인 경우)과 검증된 도메인 매칭(커미터의 이메일이 계정이 엔터프라이즈와 공식적으로 연결되지 않은 경우에도 조직이 검증한 도메인과 일치하는 경우)입니다.
- 이 새 기능의 비용은 얼마인가요?
- 추가 요금이 없습니다. 기존 GitHub Secret Protection 구독에 포함되어 있습니다.