원본: GeekNews — 마이크로소프트, 깃허브 계정 차단 후 윈도우 제로데이 공개 비판
한 줄 요약: 마이크로소프트가 패치되지 않은 제로데이 6개를 무단 공개한 보안 연구원의 GitHub 계정을 차단했고, 연구원은 7월 14일 추가 폭로를 예고했다.
---
보안 연구원 계정이 하루아침에 사라졌습니다
이 사건을 처음 봤을 때 든 생각이 있었습니다.
"저 연구원 입장에서는 억울하겠다. 그런데 내 GitHub 계정도 언제든 막힐 수 있겠구나."
보안 연구원 Chaotic Eclipse는 마이크로소프트가 취약점 처리를 제대로 하지 않는다고 판단해 패치 전 제로데이 6개를 공개했습니다. 그 결과 GitHub 계정이 차단됐고, GitLab으로 옮겨 다시 올렸더니 거기도 막혔습니다.
옳고 그름을 떠나서, 플랫폼은 자신의 정책에 따라 언제든 계정을 차단할 수 있습니다. 그 결과는 계정 주인이 고스란히 받습니다.
---
플랫폼 종속이 만드는 진짜 리스크
혹시 지금 내 코드가 GitHub에만 있으신가요?
저도 처음엔 그랬습니다. ClipLab, QR 근태관리 앱, 각종 스크립트들이 전부 GitHub 한 곳에 있었습니다. 계정이 막히면 코드 접근이 차단되고, 배포 중인 서비스도 연결이 끊길 수 있는 상황이었습니다.
이번 사건에서 챙겨야 할 스킬은 세 가지입니다.
스킬 1: 코드를 여러 곳에 분산한다
GitHub는 주력으로 쓰되, 로컬 저장소를 항상 최신 상태로 유지합니다. GitLab이나 Gitea 같은 대체 플랫폼에 자동 미러링을 설정해두면 한 곳이 막혀도 작업이 멈추지 않습니다.
설정 한 번으로 push 때마다 자동으로 미러링되니 추가 작업이 거의 없습니다.
스킬 2: 배포 파이프라인을 플랫폼에 완전히 묶지 않는다
GitHub Actions로만 배포 파이프라인을 구성했다면, 계정이 막히는 순간 배포도 멈춥니다. Cloudflare Workers로 직접 배포하거나, 로컬에서 실행 가능한 CI 스크립트를 함께 유지하는 게 안전합니다.
QR 앱을 Cloudflare Workers로 올린 게 이 관점에서 의외로 유리합니다. GitHub와 연결을 끊어도 Workers 자체는 돌아갑니다.
스킬 3: 계정 보안을 철저히 한다
2단계 인증은 기본입니다. GitHub 계정에 연결된 이메일을 자주 바꾸지 않고, 계정 복구 수단을 미리 확인해두는 것도 중요합니다.
계정을 잃는 경로는 해킹만이 아닙니다. 플랫폼 정책 위반 판정도 있습니다.
---
ClipLab 코드를 지키기 위해 바꾼 것들
이 사건을 보고 나서 실제로 몇 가지를 바꿨습니다.
먼저 중요한 저장소들의 로컬 백업 주기를 자동화했습니다. 예전에는 가끔 수동으로 clone을 받아두는 수준이었는데, 이제는 스크립트로 주기적으로 풀을 받아 외부 드라이브에도 저장합니다.
그리고 배포 스크립트를 GitHub Actions에만 의존하지 않도록 로컬에서도 실행 가능한 형태로 유지하기 시작했습니다. `wrangler deploy` 한 줄로 올라가는 구조라서 GitHub 없이도 배포가 됩니다.
취약점 공개 논쟁에서 연구원과 마이크로소프트 중 누가 옳은지는 복잡한 문제입니다.
하지만 플랫폼은 언제든 내 계정을 막을 수 있다는 사실, 그건 단순합니다. 그 가능성에 대비하는 건 개발자가 직접 해야 합니다.