github.dev·VSCode Web, 링크 클릭만으로 GitHub 토큰 탈취 취약점 공개 — 개발자 생태계 보안 경보

핵심 요약

github.dev와 VSCode Web에서 악성 저장소의 Jupyter 노트북을 열면 VSCode Webview 키보드 이벤트 처리 버그를 통해 악성 확장이 설치되고 GitHub 토큰이 탈취된다. 링크 클릭 한 번으로 개발자 GitHub 계정 전체가 위험에 처할 수 있으며, 수천만 명이 사용하는 개발 환경에 영향을 미친다.

배경

github.dev는 브라우저에서 VSCode를 실행하는 GitHub 웹 기반 에디터로 광범위하게 사용된다. Jupyter 노트북은 데이터 과학·ML 커뮤니티 필수 도구로 GitHub에 수백만 개 저장소가 존재한다. VSCode Webview 샌드박스의 키보드 이벤트 처리 버그가 격리를 우회하는 벡터가 됐다.

원인

VSCode Webview의 키보드 이벤트 처리 버그가 직접 원인으로, 악성 VSCode 확장의 무단 설치를 허용했다. Jupyter 노트북 렌더링 시 악성 코드 실행을 막지 못하는 신뢰 경계 문제가 근본 원인이다.

경과

보안 연구자가 악성 Jupyter 노트북을 통한 GitHub 토큰 탈취 공격 기법을 발견했다. 2026년 6월 3일 취약점 분석이 공개됐다. 추가 조작 없이 저장소 링크를 github.dev로 열기만 해도 토큰 탈취가 가능하다.

현재 상태

2026년 6월 3일 취약점 공개 시점이며, GitHub·Microsoft의 패치 여부 및 CVE 등록 여부는 확인 중이다. 출처 불분명 저장소의 Jupyter 노트북 열기를 자제하도록 권고됐다.

주요 영향

• 경제: 토큰 탈취 시 저장소 전체 접근 가능, 기업 코드 유출·공급망 공격 위험 현실화
• 시장: VSCode·GitHub 생태계 신뢰도 타격, 브라우저 기반 개발 환경 보안 전면 재검토 요구
• 지정학: 오픈소스 개발 인프라 취약성 노출로 국가 지원 사이버 공격의 표적 가능성