소스코드 저장소 깃허브가 보안 강화를 위해 2단계 보안인증(2FA) 전환 작업을 시작한다.
최근 인포월드 등 외신에 따르면 깃허브는 13일(현지시각)부터 깃허프 플랫폼 프로젝트에 참가하는 모든 개발자는 보안인증 계정을 등록해야 한다고 밝혔다.
깃허브의 공지에 따르면 등록 대상이 된 개발자에게는 등록 이메일이 전송되며, 대시보드에도 가입을 요청하는 배너가 표시된다. 이후 45일 이내에 2단계 보안을 등록할 것을 요청하는 메시지가 지속적으로 나타난다. 알림은 최대 일주일 동안 연기할 수 있다.
2단계 보안은 SMS, 물리적 보안키, 깃허브 모바일 앱, 타사 인증 앱 중에서 선택할 수 있다. 깃허브는 이중 안전 조치로 2가지 이상을 선택할 것을 권하고 있다. 더불어 잘못 구성된 인증 앱이나 잘못 입력된 휴대폰 번호로 인해 개발자가 계정에 잠기는 것을 방지하는 기능을 제공한다.
45일 동안 깃허브에 접속하지 못하거나 2단계 보안을 등록하지 못할 경우 해당 계정은 이중등록을 설정할 수 있는 기능 외에 모든 기능이 차단된다.
깃허브는 이번 작업을 시작으로 다양한 개발자 및 프로젝트 관리자 그룹에 점진적으로 이중등록 적용을 확대해 올해 말 모든 이용자가 적용하는 것을 목표로 하고 있다.
깃허브에서 보안을 강화하는 이유는 지난 몇년간 소프트웨어(SW) 공급망을 대상으로 한 사이버공격이 급증하고 있기 때문이다.
관련기사
- MS, 이미지까지 이해하고 만드는 '비주얼챗GPT' 공개2023.03.12
- 깃허브 코파일럿, 자바 코드의 61% 생성2023.02.27
- MS, VS코드 1.75버전 출시…깃허브 코파일럿 지원2023.02.08
- 깃허브, 자체 검색엔진 ‘블랙버드’ 베타버전 공개2023.02.09
공급망 공격은 SW를 배포하거나 업데이트하는 유통환경에 침투해 악성파일 등을 대규모 유포할 수 있어 피해규모가 크다. 솔라윈즈 해킹사고를 비롯해 로그4j 공격 등이 대표적이다.
특히 깃허브는 약 1억 명의 개발자 사용자를 보유한 가장 규모가 큰 SW 공급망 중 하나이며 공급망 공격에 주로 쓰이는 오픈소스를 저장하고 배포하는 저장소인 만큼 사이버공격의 주요 타깃이다.