GitHub 2,865만 시크릿 유출: AI가 개발자 위험을 가속화한다
2025년 공개 GitHub 저장소에 기록적인 2,865만 개의 하드코딩된 시크릿—API 키, 토큰, 비밀번호—이 누적되었습니다. 전년 대비 34% 증가한 이 수치는 AI 서비스 붐과 관련이 있으며, 해당 자격 증명 유출 사례가 81% 급증해 127만 건에 이르렀습니다. 모델 주변 인프라는 특히 취약합니다—오케스트레이터, RAG 파이프라인, 벡터 스토어 등.
AI 인프라 시크릿 유출의 폭발적 증가
AI가 주요 원동력이 되었습니다: 가장 빠르게 성장하는 시크릿 카테고리 10개 중 8개가 AI 도구에서 나왔습니다. 113,000개의 DeepSeek API 키가 탐지되었습니다. AI 인프라는 모델 제공자 자체 유출보다 5배 빠르게 새고 있습니다. MCP 설정 파일에는 2만 4,000개의 시크릿이 포함되어 있으며, 그중 2,100개가 활성 상태입니다. 인기 있는 MCP 서버 설정 가이드에서 키를 설정 파일에 직접 삽입하도록 안내하기 때문입니다.
Claude Code 같은 AI 어시스턴트를 사용하는 개발자들은 커밋의 3.2%에서 시크릿을 유출합니다—GitHub 평균(1.5%)의 두 배입니다. 도구 탓이 아닙니다: 코드 생성을 가속화하지만, 경고를 무시하는 사용자의 실수에 달려 있습니다.
GitHub는 빙산의 일각일 뿐
공개 저장소는 문제의 일부만 보여줍니다. 내부 저장소에는 시크릿이 6배 더 자주 포함되어 있습니다. 28%의 사건은 코드 밖에서 발생합니다—Slack, Jira, Confluence 등. 장기적 위험: 2022년 시크릿의 64%가 4년 후에도 여전히 활성 상태입니다.
| 지표 | 2024 | 2025 | 증가 |
|------------|------|------|------|
| 전체 시크릿 | 21.4M | 28.65M | +34% |
| AI 시크릿 | 0.7M | 1.27M | +81% |
| DeepSeek 키 | - | 113,000| 신규 |
| MCP 시크릿 | - | 24,000 | 신규 |
AI가 문제를 악화시키는 이유
AI는 유출을 발명한 게 아닙니다. 하지만 프로세스를 가속화했습니다: 커밋(+43%), 통합, 서비스 계정, 설정 영역 증가. 개발자 기반이 33% 확대되었으니 단순 스캐너 개선만으로는 부족합니다.
- 개발 속도 증가로 오류가 더 많아짐.
- AI 인프라(RAG, 벡터 DB)가 많은 키를 요구함.
- 설정 가이드가 하드코딩을 부추김.
- 장기 시크릿이 적시에 취소되지 않음.
GitGuardian 같은 자동화 도구가 추세를 포착하지만, CI/CD와 저장소 정책의 체계적 변화가 필요합니다.
주요 요약
- 2025년 공개 GitHub 저장소에 기록적인 2,865만 시크릿, 전년 대비 +34%.
- AI 시크릿 81% 증가해 127만 개, DeepSeek 키 113,000개 포함.
- 모델 인프라 유출이 제공자보다 5배 빠름; 오래된 시크릿 64%가 여전히 활성.
- AI 어시스턴트가 커밋 유출 위험을 2배로(3.2%).
- 28% 사건이 코드 밖에서 발생, 내부 저장소가 공개보다 6배 심각.
— Editorial Team
아직 댓글이 없습니다.