GitHub 공식 계정인 @github은 베이징 시간 5월 20일 오전 7시 48분에 X를 통해 GitHub 내부 리포지토리에 대한 무단 접근 사건을 조사 중임을 확인했습니다. 현재 ‘GitHub 내부 리포지토리 외부에 저장된 고객 정보(기업 계정, 조직 및 리포지토리 포함)가 영향을 받았다는 증거는 없다’고 밝혔으며, 인프라 상태를 지속적으로 모니터링하고 있으며 문제 발생 시 기존 사고 대응 채널을 통해 사용자들에게 알릴 예정이라고 했습니다. 이번 사건의 직접적인 계기는 사이버 범죄 포럼 hackrisk.io에 ‘TeamPCP’라는 이름으로 올라온 게시물로, 해당 게시물에서는 GitHub의 내부 소스코드와 조직 관련 데이터를 탈취했다고 주장하며 약 4,000개의 비공개 리포지토리를 최소 5만 달러에 판매하겠다고 밝혔습니다. 또한 ‘이것은 협박이 아니다’라고 강조하면서 단 한 명의 구매자가 나타나면 데이터를 삭제하고, 구매자가 없으면 무료로 정보를 공개하겠다고 했는데, 약 45분 뒤 GitHub 측에서 공식 답변을 내놓았습니다.
The Hacker News의 보도에 따르면 TeamPCP는 오픈소스 소프트웨어 공급망을 대상으로 여러 차례 공격을 감행해온 유명 위협 행위자로, 악성 소프트웨어 Shai-Hulud의 제작자와 연관이 있는 것으로 알려져 있습니다. 참고로 이번 사건은 지난 3월에 공개된 CVE-2026-3854 취약점( Wiz가 발견한 RCE 취약점으로 GitHub 측에서 악용되기 전에 패치 완료)과는 별개의 사건입니다. CVE-2026-3854는 실제로 악용된 적이 없는 것으로 확인되었으며, 이번 내부 리포지토리 접근 사건은 새로 발견된 보안 사건으로 공격 경로는 아직 공개되지 않았습니다. 기사 작성 시점 기준으로 조사는 계속 진행 중이며, 영향을 받은 리포지토리의 구체적 범위와 공격 경로는 아직 밝혀지지 않았습니다.