깃허브에서는 보안 로그에 이상한 행동이 감지되었으면 즉시 계정을 비활성화시키고 메일로 최소한 한 통이라도 알려줬어야 했다. 그리고 레딧처럼 추가 인증 수단을 통해 비밀번호를 즉시 변경하게 하고, 추가적으로 할 수 있는 보안 조치를 단계적으로 고지했어야 했다. 하지만 깃허브는 이상 행동 보고나 정지 사유조차 통보하지 않고 계정을 일방적으로 정지시켰으며, 바로 지원팀에 문의를 넣고 후속 메일도 보냈으나 몇 일째 묵묵부답인 상태다.

깃허브를 통해서 다른 여러 서비스에 소셜 로그인을 하고 있으며, 깃허브 코파일럿 같은 유료 서비스를 몇 달째 구독하고 있는 상태기도 하고, 프로젝트나 스터디를 한참 진행 중에 있는 상황이었기 때문에 이러한 상황이 더 크리티컬하게 다가왔다. 깃허브를 포트폴리오의 일부로 제출하기도 하는 입장에서는 더더욱 답이 없는 상황이었다.

계정 정지 관련 문의는 매우 우선순위가 높기 때문에 무료 계정과 유료 계정 구분 없이 어떠한 다른 문의보다도 우선적으로 처리되어야 하는 건이라고 생각한다. 하지만 깃허브의 커뮤니티 허브나 다른 개발자 커뮤니티를 살펴보면 깃허브의 이런 무차별적인 계정 정지에 불편함을 호소하고 있는 개발자가 한 트럭이었다. 심지어 2009년에 계정 정지 건으로 티켓을 발급했으나 여태까지 지원팀의 메일 한 통 조차 받지 못했다는 사용자도 있었다.

정지 사례 살펴보기

사용자의 계정을 실수로 정지? 대단하다 깃허브! 적어도 자동화된 스팸 감지 시스템이 오작동할 가능성을 대해서 원래 사용자가 빠르게 계정을 복구할 수 있는 최소한의 프로세스라도 있어야 하는 게 아닌가?

깃허브의 커뮤니티 허브나 서브레딧을 가면 더 암담한 이야기들을 들을 수 있었으며, 계정이 갑작스레 정지되었다는 이야기는 심심치 않게 찾아볼 수 있었다. 마이크로소프트가 깃허브를 인수한 후에 변한 줄 알았으나, 지원팀이 타 기업보다 매우 심각하게 아쉬웠던 부분은 깃허브의 본성이었던 모양이다. 지금의 깃허브의 위상이 수많은 무료 사용자들의 헌신과 기여로 쌓아올려졌다는 점을 생각하면 참으로 애석한 일이다.

안녕하세요. 저는 이용 약관 위반으로 계정 정지 통보를 받았지만, 왜 그런지 이해할 수 없습니다. 4월 2일에 지원 요청을 제출했습니다. 그럼에도 불구하고 여전히 Copilot 이용료가 청구되고 있습니다. 지원 요청이 많아 신속하게 응답하기 어려운 점은 이해하지만, 9일이 지나도록 응답이 없고 계속해서 요금을 청구하는 것은 공정하지 않다고 생각합니다. 저는 매일 제 계정에 의존하고 있습니다. 지원팀에서 제 계정의 평판을 신속하게 복구할 수 있는 방법을 안내해 주시면 감사하겠습니다. 계정 복구가 불가능하다면 청구를 중지해 주시기 바랍니다. 저는 규정을 준수하는 사용자로서 이러한 처사가 모욕적이라고 느낍니다. 정말 실망스럽습니다.
안녕하세요, 여러분.

3월 25일에 GitHub가 아무 이유 없이, 이메일 통보도 없이 제 계정을 정지시켰습니다. 그들에게 연락했지만, 오늘(5월 28일)까지도 답변을 받지 못했습니다. 한 달 전에 제 친구가 이 문제를 언급하는 글을 이 커뮤니티에 올렸는데, 관리자가 "여기는 공개 포럼이며, 커뮤니티가 티켓을 지원하거나 신속히 처리하는 데 도움을 줄 수는 없지만,
티켓이 적절한 부서에 전달된 것은 확실합니다. 우리의 팀 리소스와 앞선 티켓의 수에 따라 접수된 순서대로 답변이 제공될 것입니다."라는 답변과 함께 스레드를 닫았습니다.

현재 2개월이 지난 시점에서 GitHub가 답변하거나 조사할 것이라고 믿기 어렵습니다. 기다리는 것 외에 제가 할 수 있는 일이 무엇인지 알려주세요. 기다리는 것에 정말 지쳤습니다.
안녕하세요,

저는 지난 한 달 동안 제 다른 계정이 왜 정지되었는지에 대한 GitHub의 답변을 기다리며 인내심을 가지고 기다렸습니다. 도움말 문서의 권장대로 티켓을 열었고, 그 계정에 무슨 일이 일어났는지에 대한 최소한의 정보라도 얻기 위해 기다리고 있었습니다. 정말 안타까운 상황이며, 이 일을 겪으면서 너무 좌절하지 않으려 노력해왔지만, 그동안 이와 같은 상황을 겪은 많은 GitHub 사용자들이 있다는 것을 알게 되었습니다. 그래서 저는 더 이상 GitHub를 사용하지 않기로 했습니다. 사전 경고 없이 계정을 차단할 수 있는 서비스를 기반으로 내 저장소를 관리할 수는 없습니다.

이는 오픈 소스 커뮤니티의 주요 후원자라고 주장하는 서비스가 사람들의 저장소에 대해 지나치게 통제하려는 행위입니다. 제 저장소의 로컬 복사본을 가지고 있지 않았다면, 수개월의 작업이 담긴 코드를 효과적으로 도둑맞은 셈입니다. 단지 이유와 시스템이 제가 위반했다고 생각하는 특정 조건이나 조항에 대한 상세한 내용을 이메일로 보내주셨더라면 이렇게까지 좌절하지 않았을 것입니다. 그리고 그 소위 위반 사항에 대한 해결책을 찾으려고 했다면, 이는 존중할 만한 절차입니다.

저는 정말로 이 문제가 자동 플래그 지정 및 경고나 정보 없이 계정을 정지하는 방법론이 일반적인 것이 아니길 바랍니다. 아마도 제가 이 불행한 경험을 겪은 소수의 사람들 중 하나이기를 바랍니다. 그래도 저는 GitHub Copilot의 열렬한 팬이었고, 그 서비스를 칭찬하며 매달 구독료를 지불해왔지만, 이번 사건 이후로 그 서비스를 취소하고 대안을 찾았으며, 다른 사람들에게도 GitHub를 조심하라고 말하고 있습니다. 정말 안타깝게도, GitHub가 예전에는 개발자들 사이에서 매우 인기 있는 서비스였다는 점에서 이번 일이 더욱 실망스럽습니다.

진심으로,
실망한 사용자.
이건 정말 황당하네요.

제 계정이 정지되었습니다. 솔직히 제가 무엇을 잘못했는지 모르겠고, 한 달 넘게 지원팀의 응답을 기다리고 있습니다. 답답하긴 하지만, 저는 GitHub/Copilot을 자주 사용하지 않아서 지원팀과 연락이 닿을 때까지 기다리는 것이 저에게 큰 문제는 아닙니다. 그냥 시험 삼아 써보려던 거니까요.

하지만 정말 신경 쓰이는 건, 사용하지도 못하는 계정에 대해 Copilot 월 사용료 $10가 청구되었다는 점입니다. 정지된 계정은 요금이 일시 중지될 거라고 생각했는데요. 괜찮습니다, 로그인해서 구독을 취소하면 되겠죠. 하지만 잠깐, 로그인도 안 되는데 어떻게 취소하죠? 그럼 이제 어떻게 해야 하나요? 카드 결제를 취소해야 하나요, 아니면 지원팀이 제 티켓에 응답할 때까지 매달 $10씩 그냥 빼앗기는 건가요? 이건 그냥 명백한 도둑질 아닌가요?

위에서 소개한 사례들은 극히 일부다. 여기서 모든 것을 나열하려고 하면 게시글의 스크롤이 사라질 것 같아서 여기까지만 작성하겠다. 여담이지만 깃허브의 공동 설립자이자 전 CEO였던 사람도 아무런 이유 통보 없이 깃허브에서 정지를 먹었다고 한다. 

아무래도 최근 깃허브의 지원팀이 보여줬던 것과, 레딧의 지원팀이 보여줬던 것들이 너무 극명하게 차이가 나서, 깃허브에 대해 더더욱 실망감이 들었던 것 같다.

이번 사건으로 느낀 점

분명 보안에 신경쓰고 있었다고 생각했으나 그게 아니었던 모양이다. 모든 사이트는 2단계 인증으로 관리를 하고, 비밀번호는 되도록 소문자, 대문자, 숫자, 특수문자 조합으로 20자를 사용하고 있었다. 중요한 사이트들은 모두 중복된 비밀번호가 하나도 없었으며, 링크를 들어갈 일이 생기면 충분히 신뢰할 수 있는 도메인인 경우에만 접속을 했었다. 브라우저를 종료할 때는 쿠키나 사이트 데이터를 모조리 삭제하게끔 설정도 했고, 의심가는 프로그램이나 링크는 최대한 샌드박스 환경에서 실행할 정도로 나름 신경을 쓴 만큼 이번 사건은 내게 크게 다가왔다. 하지만 결국 내가 미숙했기에 이런 사건으로 이어지지 않았나 싶다.

  • 한 서비스에 대해 과도하게 의존함
  • 중요한 데이터들에 대해 정기적인 백업을 수행하지 않았음

Github 하나만 비정상적인 접근 기록이 있었다면 아마도 PAT이 탈취된 것이라 생각했을 것 같지만, 레딧도 비슷한 시기에 비정상적인 접근 기록을 확인해서 RAT이나 세션 탈취를 의심해볼 수 밖에 없을 것 같다.

무엇이 원인인지 짐작가는 곳은 없었지만, 이번 일을 계기로 고쳐야 할 부분들이 보이기 시작했다.

  • 로컬 백업 솔루션을 통해 주기적으로 중요한 데이터를 백업해야 함
  • 서비스가 갑작스레 중단될 수 있다는 부분을 감안해서 한 서비스에만 의존하지 않도록 해야 함
  • 검증된 확장 기능만을 사용하고, 신뢰할 수 없는 링크나 프로그램에 대해서 더 각별하게 주의를 해야 함

여담이지만, 문서 관리에는 Obsidian을 사용하고 있는데 간혹 사람들이 자주 사용하고 있는 플러그인에 악성 코드가 포함되는 경우도 있다고 들었어서 확장 기능을 지원하는 소프트웨어는 가급적이면 샌드박스 환경에서 실행해야 겠다고 생각이 들었다. 사람들이 자주 사용하는 프로그램들에 대해서 너무 의심없이 받아들이기도 했던 것 같아서 다시 한 번 조심해야겠다.