![공급망 공격에 악용된 오픈소스 패키지를 점검하는 개발자의 모습. 이번 사건은 전 세계 소프트웨어 생태계 보안에 심각한 경고를 던졌다.[사진 = 코리아비즈니스리뷰 DB]](https://epzvqcvbpcduaglyoici.supabase.co/storage/v1/object/public/news-images/legacy-cgi/2025/09/11/1757570273_89303.jpg)
최근 오픈소스 소프트웨어 생태계를 뒤흔든 사상 최대 규모의 공급망 공격 사건이 발생하여 전 세계 개발자와 기업들을 충격에 빠뜨렸다.
해커들은 npm 저장소에 호스팅된 20여 개의 오픈소스 패키지에 악성 코드를 심었으며, 이 패키지들은 주간 다운로드 횟수가 20억 회를 넘는 것으로 알려졌다. 이 공격은 단순한 데이터 탈취를 넘어, 전 세계 수많은 애플리케이션과 서비스에 악영향을 미칠 수 있는 잠재적 위협을 드러냈다.
이번 공격의 핵심은 npm 패키지 관리자의 계정 탈취였다.
해커들은 이메일 피싱을 통해 관리자의 2단계 인증(2FA) 정보를 탈취하는 데 성공했다. 특히, 공격에 사용된 이메일은 npmjs.com과 유사한 도메인(npmjs.help)을 사용하여 신뢰를 유도하는 고도의 사회 공학 기법을 활용한 것으로 드러났다.
관리자 중 한 명인 조쉬 주넌(Josh Junon)은 이메일에 속아 자신의 계정 정보를 업데이트했으며, 이로 인해 해커들은 순식간에 그의 계정 권한을 손에 넣었다.
계정 탈취 후, 해커들은 즉각적으로 악성 코드를 삽입한 업데이트 버전을 배포했다. 이 코드는 암호화폐 거래 주소를 탈취하는 기능을 담고 있었는데, 감염된 시스템에서 발생하는 암호화폐 거래를 감시하고 수신자 지갑 주소를 공격자 지갑 주소로 변경하는 방식이었다.
총 280줄이 넘는 정교한 코드는 재빨리 수많은 프로젝트에 확산되었으며, 이는 자바스크립트(JavaScript) 생태계의 근간을 이루는 패키지들이었기 때문에 피해 규모는 걷잡을 수 없이 커졌다.
소프트웨어 공급망 공격의 새로운 국면: 개발자 계정 탈취와 광범위한 피해 확산
이번 사건은 기존의 소프트웨어 공급망 공격과는 다른 양상을 보였다. 이전에는 개발 환경이나 빌드 시스템을 직접 해킹하는 방식이 주로 사용되었다면, 이번 공격은 개발자의 개인 계정을 표적으로 삼았다. 이는 소프트웨어 개발 생태계의 가장 취약한 지점인 '인간'을 노린 공격으로, 아무리 강력한 기술적 보안 장치를 갖추고 있더라도 인간의 실수로 인해 전체 시스템이 무너질 수 있음을 보여준다.
특히, 오픈소스 생태계는 이번 공격의 주요 타겟이었다. 오픈소스는 전 세계 개발자들이 자유롭게 기여하고 활용하는 특징 때문에, 하나의 취약점이 발견되면 그 파급 효과는 상상을 초월한다. npm과 같은 중앙 집중식 저장소는 수많은 프로젝트의 의존성(dependency)을 관리하는 핵심 허브 역할을 하므로, 여기에 악성 코드가 삽입될 경우, 해당 패키지를 사용하는 모든 하위 프로젝트에 자동으로 전파되는 구조적 취약성을 가지고 있다.
보안업체 소켓(Socket)의 연구원들은 "이러한 고위험 프로젝트와의 중첩은 이번 사건의 폭발 반경을 크게 증가시킨다"고 분석했다. 그들은 이어 "공격자들은 Qix(조쉬 주넌의 닉네임)를 해킹함으로써 수많은 애플리케이션, 라이브러리, 프레임워크에 간접적으로 의존하는 패키지들의 악성 버전을 푸시할 수 있는 능력을 얻었다"고 지적하며 이번 공격이 생태계 전반에 미치는 심각성을 강조했다.
이번 공격은 단순한 무작위 공격이 아닌, 생태계 전반에 걸쳐 영향력을 극대화하기 위해 설계된 표적 공격으로 판단된다.
KBR Insight: 개발 생태계의 보안 강화, 기술적 방어와 더불어 '인간적 요소'에 대한 인식 제고가 시급
이번 사건은 개발자와 기업들이 소프트웨어 보안에 대한 인식을 근본적으로 재고해야 함을 시사한다.
단순히 최신 방화벽이나 침입탐지 시스템을 구축하는 것만으로는 더 이상 충분하지 않다. 기술적인 방어뿐만 아니라, 개발자 개인의 보안 의식을 높이고 사회 공학적 공격에 대비하는 교육이 필수적이다. 특히, 오픈소스 프로젝트에 기여하는 개발자들은 개인 계정 관리에 대한 책임감을 더욱 강화해야 한다.
기업들은 공급망 보안을 강화하기 위해 소프트웨어 구성 분석(SCA) 도구를 적극적으로 활용해야 한다. SCA는 사용 중인 오픈소스 구성 요소를 자동으로 식별하고, 알려진 취약점을 감지하여 위험을 줄이는 데 도움을 준다. 또한, 빌드 프로세스 전반에 걸쳐 보안 검사를 자동화하고, 서명된 패키지만 사용하도록 정책을 수립하는 것도 중요한 대안이다.
사이버 보안 전문가들은 '제로 트러스트(Zero Trust)' 원칙을 강조한다. 이는 모든 사용자, 장치, 애플리케이션을 잠재적인 위협으로 간주하고, 모든 접근에 대해 엄격하게 검증하는 보안 모델이다. 특히, npm과 같은 공개 저장소에서 패키지를 사용할 때는, 단순히 유명하다는 이유만으로 신뢰해서는 안 되며, 패키지의 무결성과 소스 코드를 면밀히 검토하는 습관을 들여야 한다.
이번 공격은 소프트웨어 공급망의 취약성을 다시 한번 명확하게 보여주었으며, 오픈소스 생태계의 신뢰를 회복하기 위한 공동의 노력이 필요하다는 교훈을 남겼다. 개발자와 기업, 그리고 오픈소스 커뮤니티 전체가 협력하여 보안 위협에 대한 경각심을 높이고, 더욱 강력한 방어 체계를 구축해야 할 시점이다.
결론: 공급망 보안 강화는 선택이 아닌 필수
이번 사상 최대 규모의 공급망 공격 사건은 소프트웨어 개발 생태계의 근본적인 취약성을 드러낸 충격적인 사례이다.
해커들이 개발자의 2단계 인증 정보를 탈취하는 고도의 사회 공학 기법을 사용하여 npm 저장소의 핵심 패키지를 감염시켰고, 이로 인해 20억 회 이상의 주간 다운로드를 기록하는 수많은 프로젝트에 악성 코드가 전파되었다.
이 사건은 기술적 보안과 함께 인간적 요소의 중요성을 동시에 강조한다. 기업과 개발자들은 소프트웨어 공급망 전반에 걸쳐 보안 감시를 강화하고, 소프트웨어 구성 분석(SCA)과 같은 도구를 적극적으로 활용해야 한다. 또한, 개발자 개인의 보안 의식을 높이고 사회 공학적 공격에 대한 교육을 강화하는 것이 시급하다.
앞으로 이러한 공급망 공격은 더욱 교묘하고 정교해질 가능성이 높다. 따라서 개발 생태계의 모든 구성원들은 보안을 최우선 가치로 두고, 협력하여 새로운 위협에 선제적으로 대응해야 할 것이다.
이번 사태는 공급망 보안이 더 이상 선택이 아닌, 모든 비즈니스의 지속 가능성을 위한 필수적인 요소임을 강력하게 시사한다.