오픈소스 빌드 시스템 Nx, 공급망 공격으로 Fortune 500 기업 포함 피해 발생

최근 오픈소스 빌드 시스템 및 개발 툴킷인 Nx가 공급망 공격을 받아 수많은 소프트웨어 개발자가 피해를 입었습니다. 공격자는 Nx와 일부 지원 플러그인의 악성 버전을 NPM에 게시했으며, 이는 GitHub, NPM 토큰, SSH 키, 암호화폐 지갑 정보 등 개발자의 중요한 정보를 탈취하는 악성코드를 포함하고 있었습니다.

공격 개요

이번 공격은 공격자가 게시 권한이 있는 토큰을 획득하여 악성 버전을 NPM에 푸시하는 방식으로 이루어졌습니다. 특히 모든 관리자가 2FA(이중 인증)를 사용하고 있었음에도 불구하고 패키지 게시에는 2FA가 필요하지 않았던 점이 취약점으로 작용했습니다. 악성 버전은 약 4시간 동안 게시되었으며, NPM은 해당 버전을 모두 삭제했습니다.

피해 규모 및 정보 유출

보안 연구원 Wiz에 따르면 이번 공격으로 1,000개 이상의 유효한 GitHub 토큰이 유출되었습니다. 또한 공격자는 약 20,000개의 파일과 "수십 개"의 유효한 클라우드 자격 증명 및 NPM 토큰을 훔친 것으로 밝혀졌습니다. Nx는 이번 공급망 공격으로 피해를 입은 기업의 수를 구체적으로 밝히지 않았지만, Fortune 500대 기업의 70% 이상이 Nx를 사용하고 있는 것으로 알려져 피해 규모가 상당할 것으로 예상됩니다.

AI 도구 악용한 새로운 공격 방식

보안 연구원 Step Security는 이번 공격에서 공격자가 AI CLI 도구(Claude, Gemini, q 포함)를 정찰 및 데이터 유출에 활용한 점을 주목했습니다. 이는 개발자 AI 도우미를 공급망 공격에 악용한 최초의 사례로 기록될 것으로 보입니다. 공격자는 AI 도구를 사용하여 파일 시스템을 재귀적으로 스캔하고 민감한 파일 경로를 `/tmp/inventory.txt`에 기록하여 합법적인 도구를 공격에 활용했습니다.

사용자 대응 방안

Nx는 피해를 입은 사용자에게 지원팀에 연락하여 도움을 받을 것을 권고하고 있습니다. 또한, NPM과 GitHub 토큰, SSH 키 등 민감한 정보가 유출되었을 가능성이 있으므로 즉시 변경하고, 시스템 보안 점검을 실시하는 것이 중요합니다.

결론

이번 Nx 공급망 공격은 오픈소스 생태계의 보안 취약점을 드러내는 사례입니다. 개발자와 기업은 공급망 보안에 대한 경각심을 갖고, 2FA와 같은 기본적인 보안 조치를 강화하는 것은 물론, AI 도구와 같은 새로운 기술을 악용한 공격에 대한 대비책을 마련해야 합니다. 또한, 오픈소스 프로젝트의 보안 취약점을 지속적으로 점검하고, 보안 업데이트를 신속하게 적용하는 것이 중요합니다.