2026년 CI/CD 파이프라인 공격 급증에 대응하기 위해 SHA 핀닝, OIDC 기반 단기 인증서, Chainguard Actions 도입으로 공급망 보안 강화

Context

CI/CD 파이프라인은 소스 코드 접근, 클라우드 자격증명, 프로덕션 배포 권한을 모두 보유한 최상위 권한 인프라 계층이기 때문에 공격자의 주요 목표가 되었다. 2026년 3월 Trivy GitHub Action과 같은 버전 태그 조작 공격으로 23,000개 이상의 저장소에서 CI/CD 시크릿이 노출되는 사건이 발생했다. Jenkins의 경우 2025년 70개 이상의 보안 취약점이 발생했으며, 2024년 취약점에 여전히 노출된 45,000개 이상의 Jenkins 서버가 존재한다.

Technical Solution

• GitHub Actions에서 버전 태그(v1, v2) 대신 커밋 SHA로 액션을 고정: uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 형식으로 변경하여 태그 조작 공격 차단
• OIDC 기반 단기 인증서 도입: AWS, GCP, Azure의 GitHub Actions OIDC 통합을 활용하여 장기 시크릿 노출 위험 감소
• 워크플로우 권한 명시적 선언: principle of least privilege를 강제하기 위해 각 워크플로우의 권한 범위 제한
• Chainguard Actions 배포: 인기 있는 제3자 CI/CD 워크플로우를 자동으로 보안 규칙 평가 및 자동 수정하는 도구 도입
• Jenkins 플러그인 인벤토리 관리: 활성 플러그인 완전 목록 작성, 마지막 업데이트 날짜 확인, 버려진 플러그인 제거 또는 포크 유지
• SLSA 프레임워크 및 Sigstore/cosign 적용: 빌드 출처 검증, 컨테이너 이미지 서명, SBOM 생성으로 의존성 투명성 확보
• 48시간 내 중요 보안 패치 적용: Jenkins 보안 권고 구독 및 자동화된 패치 프로세스 수립

Key Takeaway

CI/CD 파이프라인 보안은 선택이 아닌 필수이며, SHA 핀닝, 최소 권한 원칙, 지속적인 모니터링 기본기를 CI/CD 환경 전반에 일관되게 적용하는 것이 핵심이다.