GitHub은 서비스 초기부터 Ruby on Rails를 핵심 기술 스택으로 채택하며 Rails 커뮤니티와 상호 보완적인 성장을 이루었습니다. 이러한 환경에서, Egor Homakov는 Ruby on Rails의 Mass Assignment 취약점을 지적했습니다. 이 취약점은 개발자가 모델의 속성 할당 시 주의를 기울이면 피할 수 있다고 여겨졌기에, 일부에서는 ‘매뉴얼을 읽고 잘하라(RTFM)’는 식의 인식이 있었습니다. 그러나 Homakov는 단순히 취약점을 보고하는 것을 넘어, 당시 Rails의 가장 큰 성공 사례이자 Rails 호스팅까지 제공하던 GitHub을 직접 공격하는 대담한 방식을 택했습니다. 그는 실제로 GitHub 공격에 성공하여, 가장 큰 규모의 Rails 애플리케이션조차 이 취약점에서 자유롭지 않음을 실증적으로 보여주었습니다.
이 사건은 개발의 철학적인 측면에서도 중요한 질문을 던졌습니다. ‘개발자를 믿을 것인가(예: 수동 메모리 관리처럼 개발자의 숙련도에 의존하는 방식)’와 ‘믿지 않을 것인가(예: 가비지 컬렉션처럼 시스템이 자동화하여 실수를 줄이는 방식)’ 사이의 선택과 유사하게, 보안에서는 ‘알고서 잘 할 것’이라는 막연한 기대를 경계해야 한다는 교훈을 주었습니다. 즉, 개발자의 지식과 주의력에만 의존하는 보안 모델은 대규모 시스템에서는 치명적인 약점이 될 수 있으며, 시스템적인 방어와 견고한 설계가 필수적임을 시사했습니다. 이 사건은 단순히 하나의 취약점 패치를 넘어, 소프트웨어 보안의 근본적인 접근 방식에 대한 재고를 요구하는 중요한 전환점이 되었습니다.