SHA Pinning과 OIDC 도입을 통한 CI/CD 공급망 공격 원천 차단

Context

GitHub Actions의 버전 태그 기반 신뢰 구조를 악용한 Supply Chain Attack으로 다수의 클라우드 자격 증명이 유출됨. 특히 Tag Force-push를 통한 악성 커밋 주입으로 인해 기존의 버전 관리 방식이 보안 취약점으로 작용함.

Technical Solution

• Version Tag 대신 Immutable한 Commit SHA Pinning을 적용하여 Action 소스 코드의 무결성 보장
• Static Secret 대신 OIDC 기반의 Short-lived Token을 도입하여 클라우드 자격 증명 유출 리스크 제거
• StepSecurity Harden-Runner를 통한 Egress Monitoring 체계 구축으로 비정상적인 외부 통신 차단
• AWS IMDS 및 ECS Metadata Endpoint에 대한 접근 제어를 통해 런타임 내 자격 증명 탈취 경로 차단
• Dependency Locking 및 Native Egress Firewall 도입을 통한 파이프라인 실행 환경의 격리 수준 강화