피드로 돌아가기![PREDICTION-20260525-0007: boredom-with-asymmetric-leverage [2026-Q3 through 2027-Q3]](/_next/image?url=https%3A%2F%2Ftsewlmecqtvqphyhezcm.supabase.co%2Fstorage%2Fv1%2Fobject%2Fpublic%2Fthumbnails%2Ffd49b9ef-6ec8-404d-b62e-81a74b44e344.webp%3F&w=3840&q=75)
Dev.toSecurity
원문 읽기
6시간 만에 5,561개 저장소 침투한 CI/CD-as-code 자동화 공격 분석
PREDICTION-20260525-0007: boredom-with-asymmetric-leverage [2026-Q3 through 2027-Q3]
AI 요약
Context
기존 Supply Chain Security가 Package Registry의 Typosquatting 방어에 집중된 사이, CI/CD 설정 파일(.yml)이라는 새로운 공격 표면이 노출됨. Registry와 달리 CI/CD-as-code는 2FA 기반의 출판 관문이 없어 유출된 PAT나 위조된 Bot Identity를 통한 무차별 주입에 취약한 구조적 한계를 가짐.
Technical Solution
- LLM 기반의 정교한 YAML 생성으로 리뷰어의 육안 검토를 우회하는 페이로드 설계
- GitHub API의 자동화된 대량 접근을 통한 단일 오퍼레이터 중심의 고밀도 주입 구조
- Stolen PAT 및 OAuth Scope 탈취를 통한 기존 제3자 저장소로의 직접 Write 권한 확보
- PR-merge Race Condition 및 위조 Bot ID를 활용한 인증 체계 우회 전략
- Package Registry의 게이트웨이 검증을 회피하여 CI/CD 파이프라인 내부에 악성 코드를 직접 심는 수평적 전이 방식
실천 포인트
1. OIDC 기반의 Short-lived Token 도입으로 PAT 유출 리스크 최소화
2. Action Pinning 및 Workflow Signing을 통한 CI/CD 설정 파일 변조 방지
3. CI/CD 설정 파일 변경 시 강제적인 Multi-person Review 프로세스 구축
4. 최소 권한 원칙(Principle of Least Privilege)에 따른 OAuth Scope 재검토