깃허브, AI로 발견된 치명적 RCE 취약점 6시간 만에 패치… Wiz '40분 재현·2시간 내 배포', 폐쇄형 바이너리 첫 AI 발견 사례

깃허브(GitHub)가 지난달 자사 시스템의 치명적(critical) 원격 코드 실행(RCE) 취약점을 6시간 미만에 패치한 사실을 공개했다. 이 취약점은 보안업체 Wiz의 리서치 팀이 AI 모델을 활용해 깃허브 내부 git 인프라에서 발견한 것으로, 공격에 성공할 경우 공개 및 비공개를 가리지 않고 수백만 개의 코드 리포지토리에 접근할 수 있었다.

깃허브의 최고정보보호책임자(CISO) Alexis Wales는 "보안팀이 버그 바운티 신고를 받자마자 검증에 착수했다. 40분 만에 사내에서 취약점을 재현했고 심각도를 확인했다"며 "즉각 대응이 필요한 치명적 사안이었다"고 설명했다.

깃허브 엔지니어링 팀은 근본 원인을 파악한 직후 한 시간 남짓 만에 수정을 개발·배포해 GitHub.com과 GitHub Enterprise Server를 함께 보호했다. Wales는 "2시간이 채 지나지 않아 보고 사항을 검증하고 github.com에 패치를 배포했으며, 포렌식 조사도 시작했다. 그 결과 실제 악용 정황은 없었다는 결론을 얻었다"고 밝혔다. Wiz의 신고로부터 6시간 안에 문제가 마무리된 셈이다.

취약점 자체는 Wiz에 따르면 "AI를 활용해(using AI)" 발견됐다. 어떤 AI 모델이 이 결함을 찾는 데 기여했는지는 구체적으로 공개되지 않았다. Wiz의 보안 연구원 Sagi Tzadik은 "이번 사례는 폐쇄형 소스 바이너리(closed-source binaries)에서 AI를 통해 발견된 첫 번째 치명 취약점 중 하나로, 결함 식별 방식의 변화를 보여주는 사건"이라고 평가했다.

깃허브의 신속한 대응으로 패치가 수 시간 내에 배포됐지만, Wiz는 깃허브 내부 시스템의 복잡성에도 불구하고 이 흔치 않은 취약점이 "놀라울 정도로 악용하기 쉬웠다(remarkably easy to exploit)"고 경고했다. Wales는 "이 정도 규모와 심각도의 발견은 드물며, 우리 버그 바운티 프로그램에서 지급하는 최고 수준의 보상 중 하나를 받게 된 사안"이라고 덧붙였다.

이번 취약점 공개는 깃허브가 잇단 안정성 문제로 흔들리는 시점과 맞물렸다. 며칠 전 깃허브는 일부 사용자에게 이미 머지된(merged) 커밋(코드 스냅샷)이 무작위로 되돌려지는 대형 장애를 겪었으며, 같은 주에 또 다른 장애도 발생했다. 보도에 따르면 한 깃허브 직원은 "회사가 무너지고 있다. 평판을 망친 정말 심각한 장애와 리더십의 줄퇴사 양면에서 그렇다"고 토로했다.