2025년 11월 05일

멈추지 않는 소프트웨어 공급망 공격

Tech

Share

by

멈추지 않는 소프트웨어 공급망 공격: 5센트에서 국가 사이버 첩보까지

지난 9월, 초크(Chalk)와 디버그(Debug) 라이브러리를 대상으로 한 대규모 공급망 공격 소식은 개발자 커뮤니티를 긴장시켰습니다. 역대 최대 규모라는 평가에도 불구하고 실제 금전적 피해는 미미했지만, 그 이면에는 간과할 수 없는 심각한 위협이 도사리고 있습니다. 공격자들은 이제 단순한 시스템 침투를 넘어, 접근 권한 확보를 목표로 더욱 교묘하고 지능적인 전략을 구사하고 있습니다.

오픈소스, 더 이상 안전지대가 아니다

과거에는 소프트웨어 업데이트 과정이나 CI/CD 도구를 침해하는 방식이 주를 이뤘지만, 최근 공격자들은 오픈소스 프로젝트 유지보수자를 직접적인 타깃으로 삼고 있습니다. 피싱, 소셜 엔지니어링 등의 기법을 통해 계정을 탈취하거나, 악성 코드를 삽입하는 방식으로 접근 권한을 확보합니다. 이러한 공격은 암호화폐 탈취, 소프트웨어 레지스트리 악용, 심지어 국가 차원의 사이버 첩보 활동으로까지 이어질 수 있다는 점에서 간과할 수 없는 위협입니다.

소셜 엔지니어링과 AI의 결합

정보보안 분야에서 인간은 종종 가장 취약한 고리로 지적됩니다. 피싱 공격은 여전히 오픈소스 라이브러리 유지보수자를 노리는 대표적인 침투 경로로 활용되고 있으며, AI 기술의 발전은 이러한 공격을 더욱 정교하고 효과적으로 만들고 있습니다. 공격자들은 AI를 이용해 진짜처럼 보이는 피싱 유인물을 손쉽게 제작하고, 문법적 오류와 같은 단서를 제거하여 피해자를 속입니다.

진화하는 공격 페이로드

최근 발견된 공급망 맬웨어 사례들은 공격자들이 공격 페이로드를 끊임없이 고도화하고 있음을 보여줍니다. 이들은 난독화, 전파 기법, 스테가노그래피 등 다양한 기술을 활용하여 탐지를 회피하고, 감염 확산을 가속화합니다. 샤이훌루드(Shai-Hulud) 공격은 자기 복제 로직을 통해 187개에서 500개가 넘는 패키지로 감염을 확산시켰으며, 스테가노그래피 기법은 QR 코드 이미지 안에 악성 명령을 숨겨 통신 채널을 구축하는 데 사용되었습니다.

국가 차원의 사이버 첩보 활동

국가의 지원을 받는 해커 집단도 AI 기반 공격 전술의 효율성에 주목하고 있습니다. 북한과 연계된 라자루스 그룹(Lazarus Group)은 오픈소스 레지스트리를 표적으로 삼아 암호화폐 기업과 방산업체를 겨냥한 공격을 수행했습니다. 이들은 오픈소스 프로젝트를 복제하여 데이터 탈취용 맬웨어를 심은 변형 버전을 배포하는 방식으로 합법적인 개발 워크플로우를 악용하여 목표 시스템에 간접적으로 침투하고 있습니다.

오픈소스만 위험한 것이 아니다

공급망 공격은 오픈소스 레지스트리에만 국한되지 않습니다. 마이크로소프트의 VS 코드 마켓플레이스(VS Code Marketplace)에 게시된 악성 확장 프로그램 또한 주요 공격 대상입니다. '타이거잭(TigerJack)' 캠페인은 공격자가 여러 마켓플레이스에 동시에 악성 플러그인을 배포할 수 있음을 보여주며, 오픈 VSX(Open VSX)와 같이 오픈소스 중립적인 대안 또한 보안 위험에 노출되어 있습니다. 소스 코드나 빌드 파이프라인을 변경하도록 설계된 악성 확장은 개발 환경을 은밀히 감염시켜 공급망 공격을 유발할 수 있습니다.

레지스트리의 숨겨진 위험

오픈소스 소프트웨어 레지스트리는 원래 구성요소 개발자가 코드를 배포하고 가져가는 용도로 설계되었지만, 일부 사용자는 이를 본래 목적과 다르게 활용하고 있습니다. 미디어 파일을 호스팅하거나, '빈 패키지' 또는 기존 오픈소스 라이브러리를 변형한 복제본을 대량으로 업로드하는 사례가 빈번하게 발생하고 있습니다. 이러한 행위는 레지스트리의 리소스를 낭비하고, 보안 위협을 증가시킬 수 있습니다.

사이버보안 책임자가 해야 할 일

현대의 공급망 공격은 사람과 레지스트리의 취약점을 파고드는 데서 시작됩니다. 공격자들은 자동화된 확산, 난독화, 소셜 엔지니어링을 결합하여 최대한의 피해를 노립니다. 따라서, 사이버보안 책임자는 사람과 그들이 의존하는 생태계를 함께 보호하는 균형 잡힌 방어 전략을 구축해야 합니다. 유지보수자에 대한 다중 인증(MFA) 적용, 직원 대상 피싱 모의훈련, 검증된 레지스트리 사용, CI/CD 파이프라인 강화, 대규모 코드 변경이나 자기 복제 로직의 징후를 면밀히 모니터링하는 등의 조치가 필요합니다.

결론

소프트웨어 공급망 공격은 이제 5센트의 피해를 넘어 국가 안보까지 위협하는 심각한 문제로 진화했습니다. 단순히 금전적 피해 규모에만 집중할 것이 아니라, 공격의 근본적인 원인을 파악하고, 선제적인 방어 체계를 구축하는 것이 중요합니다. 개발자, 보안 전문가, 기업, 정부 모두가 협력하여 안전하고 신뢰할 수 있는 소프트웨어 생태계를 만들어나가야 합니다.

이것도 좋아하실 수 있습니다...