소스코드 공유·관리 플랫폼 깃허브가 보안 위협을 초래할 우려가 있는 코드 사용을 막겠다는 새 운영지침을 발표했다.
미국 IT 매체 블리핑컴퓨터는 깃허브가 운영지침에 맬웨어나 악성 스크립트 배포, 명령제어(C2) 서버 역할을 하는 소스코드 저장소의 지원을 중단할 수 있다는 내용을 추가했다고 5일 보도했다.
이번 조치는 지난 3월 한 보안 연구원이 마이크로소프트(MS) 익스체인지 서버 '프록시로그온(ProxyLogon)' 취약점에 대한 개념증명(PoC) 코드를 깃허브에 업로드한 것에서 비롯됐다. 이 취약점은 올초 전세계 규모의 사이버공격에 악용되기도 했다.
당시 깃허브는 업로드된 MS 익스체인지 서버 취약점 PoC 코드가 운영 정책을 위반했다며 해당 코드를 삭제했다. 보안 연구자들이 이에 대해 합법적인 연구 내용의 공개를 막는 것이라며 반발하자, 깃허브는 4월 사이버보안 커뮤니티에 맬웨어와 취약점에 대한 자사 정책에 대해 피드백을 요청한 바 있다. 이후 한 달 여간의 의견 수렴 과정을 거쳐 이번 운영지침을 발표한 것이다.
깃허브는 블리핑컴퓨터에 "PoC 취약점 코드의 발행 및 배포가 보안 커뮤니티에 교육적이고 연구적인 가치를 갖고 있다는 것을 이해한다"며 "우리의 목표는 이런 편익과 광범위한 생태계의 안전을 유지하는 것 사이에서 균형을 유지하는 것"이라는 입장을 전했다.
관련기사
- 소스코드 공유 플랫폼 깃허브, '보안' 최대 숙제 됐다2021.05.28
- "탄소 중립 코딩"…MS·리눅스재단 손잡았다2021.05.26
- 깃, 보안 수준 강화...'SHA-1→256'2020.10.23
- 깃허브, 소스코드 배포 전 취약점 찾아준다2020.10.01
다만 취약점에 대한 PoC 및 맬웨어 소스코드에 대한 제재는 일시적인 것이며, 연구 및 새로운 정보 공유 등의 목적으로 업로드됐다고 판단될 경우에는 금지하지 않겠다고 덧붙였다. 이를 위해 제재를 받은 사용자가 소스코드나 계정의 복구를 신청할 수 있는 절차를 뒀다고 강조했다.
사용자가 이런 소스코드와 함께 보안 관련 소개 파일을 함께 제공하는 것도 대책이 될 수 있다고 덧붙였다.