git push 한 번으로 닿은 GitHub RCE, HN이 따진 건 대안보다 신뢰 비용

이번 공개에서 무거운 대목은 복잡한 체인보다 출발점이다. Wiz는 2026년 4월 28일 공개한 CVE-2026-3854 분석에서, 인증된 사용자가 평범한 git push만으로 GitHub 내부 git 파이프라인에 원격 코드 실행을 일으킬 수 있었다고 설명했다. GitHub.com에서는 공유 스토리지 노드까지 닿았고, GitHub Enterprise Server에서는 서버 전체 장악으로 이어질 수 있는 경로였다.

핵심은 X-Stat 헤더 처리 방식에 있었다. push option 값에 세미콜론이 섞여 들어가면 내부 필드가 추가로 주입되고, 같은 키가 중복될 때 뒤 값이 앞 값을 덮어쓰는 구조 때문에 보안 플래그를 바꿀 수 있었다. Wiz는 rails_env, custom_hooks_dir, repo_pre_receive_hooks를 엮어 sandbox 밖에서 hook 실행으로 이어지는 경로를 재구성했다. GitHub.com은 보고 후 6시간 안에 완화됐고, GHES는 패치가 배포됐지만 공개 시점 기준으로 Wiz는 지원되는 인스턴스의 88%가 여전히 취약하다고 적었다.

댓글이 오래 붙은 이유도 여기 있다. 논점은 “그럼 어디로 옮길까”보다 “이 정도로 중앙화된 개발 인프라를 우리는 어느 수준까지 신뢰하고 있나”에 가까웠다. 상단 댓글은 GitHub를 대체할 곳이 정말 있느냐고 물었고, 답글은 GitLab 같은 대안을 거론하면서도 결국 대체재의 안정성 문제로 돌아갔다. 호스팅 서비스 비교표보다, 개발 조직이 감수하는 신뢰 비용이 드러난 순간이었다.

이번 사례는 취약점 자체만큼 연구 방식도 남긴다. Wiz는 AI 보강 reverse engineering 도구 덕분에 닫힌 바이너리와 서비스 간 프로토콜을 훨씬 빠르게 추적할 수 있었다고 밝혔다. 여러 언어로 짜인 내부 서비스가 공통 헤더 하나를 서로 다르게 믿을 때 어떤 균열이 생기는지, 그리고 그 균열이 이제 더 자주 발견될 수 있다는 경고다.

Source: Wiz blog · Hacker News discussion