[아이티데일리] 소프트웨어(SW) 공급망을 노린 사이버 공격이 전례 없이 급증하면서 전 세계 개발자들이 심각한 위험에 노출되고 있다는 분석이 나왔다. 특히 개발자들이 널리 사용하는 npm과 PyPI 같은 오픈소스 패키지 저장소가 집중 공격을 받으면서 한 번의 공격으로 수백만 명의 개발자가 동시에 피해를 볼 수 있다는 우려가 현실화되고 있다.

오픈소스 SW 공급망 보안 스타트업인 소켓(Socket)이 최근 발표한 연구 결과에 따르면, 7월 한 달 동안에만 주요 오픈소스 패키지들이 연쇄적으로 공격을 받아 악성코드가 유포됐다. 특히 주간 280만 건 다운로드를 기록하는 ‘is’ 패키지가 해킹당해 멀웨어가 삽입된 사건이 가장 심각하다. is 패키지는 자바스크립트 개발에서 사용되는 유틸리티 라이브러리로, 공격자들이 장악에 성공함으써 수많은 하위 프로젝트들이 동시에 감염된 것으로 파악됐다.

이러한 SW 공급망 공격 양상은 갈수록 정교해지고 있다. 소켓 연구팀이 발견한 악성 패키지 중 4가지는 단순한 정보 탈취를 넘어 키보드 입력 내용 기록, 화면 캡처, 웹캠 영상 촬영, 시스템 정보 수집 등 종합적인 감시 기능을 수행했다. 이들 패키지는 npm에 3개, PyPI에 1개가 배포됐으며 총 5만 6천 건 이상 다운로드됐다. 특히 ‘dpsdatahub’라는 패키지는 보이지 않는 iframe을 생성해 사용자 입력을 몰래 기록하고, 5초마다 공격자가 제어하는 AWS 람다(AWS Lambda) 엔드포인트로 데이터를 전송하는 치밀한 구조를 보였다.

SW 공급망 공격의 파괴력을 여실히 보여준 사례도 발생했다. 프리랜서 개발 플랫폼인 톱탈(Toptal)의 깃허브 조직 계정이 해킹당한 사건이다. 공격자들은 톱탈의 깃허브 계정을 장악한 후 73개의 비공개 저장소를 공개로 전환하고, 10개의 악성 npm 패키지를 배포했다. 이 패키지들은 깃허브 인증 토큰을 탈취한 뒤 리눅스 시스템에서는 ‘sudo rm -rf --no-preserve-root /’ 명령을, 윈도우에서는 ‘rm /s /q’ 명령을 실행해 전체 파일 시스템을 삭제하려 시도했다. 5천 건 이상 다운로드된 이 패키지들은 발견 즉시 제거됐지만, 이미 설치한 몇몇 개발자들은 심각한 피해를 입은 것으로 알려졌다.

특히 우려되는 부분은 공격자들이 정당한 서비스를 악용해 탐지를 회피하고 있다는 점이다. ‘m0m0x01d’ 패키지의 경우 보안 테스트 도구인 버프 컬래버레이터(Burp Collaborator)를 명령제어(C2) 채널로 활용해 키 입력 내용을 유출했으며, ‘nodejs-backpack’ 패키지는 슬랙(Slack) 웹훅(Webhook)을 통해 시스템 정보를 전송했다. 보안 전문가들은 이런 방식이 일반적인 네트워크 보안 도구로는 탐지하기 어려워 공격의 성공률을 크게 높이고 있다고 지적한다.

소켓은 또한 npm 생태계에서 널리 사용되는 ‘form-data’ 패키지에서 발견된 치명적 취약점(CVE-2025-7783)을 예로 들며 SW 공급망 공격의 또 다른 양상을 전했다. 이 패키지는 주간 1억 건 이상 다운로드되는 핵심 라이브러리인데, 예측 가능한 경계값 생성으로 인해 HTTP 매개변수 오염 공격에 취약하다는 것이 밝혀졌다. 공격자들은 이를 악용해 멀티파트 요청 파싱을 방해하고 의도하지 않은 매개변수를 주입할 수 있는 것으로 알려졌다.

소켓 연구팀은 이런 공격들이 체계적이고 지속적으로 이뤄지고 있다고 분석하며 “공격자들이 npm의 메타데이터 접근성을 악용해 등록 이메일과 관리자 정보를 수집한 뒤 표적형 피싱 공격을 전개하고 있다. 특히 npnjs.com과 같은 가짜 도메인을 만들어 개발자 인증정보를 탈취한 후 정당한 패키지에 악성코드를 삽입하는 수법이 확산되고 있다”고 경고했다.

이밖에 소켓 연구팀은 북한 연계 해킹 그룹의 활동이 활발해지고 있다는 분석도 내놨다. 이들 그룹은 ‘감염 유도를 위한 면접(Contagious Interview)’ 캠페인을 통해 구직자들을 대상으로 악성 npm 패키지가 포함된 코딩 과제를 수행하도록 유도하고 있으며, 67개의 악성 패키지를 통해 총 1만 7천 건의 다운로드를 기록했다는 게 연구팀의 분석이다.

보안 전문가들은 이 같은 오픈소스 SW 공급망 공격에 대해 개발자와 조직들이 즉각적인 대응책을 마련해야 한다고 조언한다. 소켓 연구팀은 “패키지 관리자들은 비밀번호를 재설정하고 모든 토큰을 순환시켜야 하며, 7월 18일 이전의 안전한 버전만 사용해야 한다”고 권고하면서 “자동 업데이트를 비활성화하고 잠금 파일을 사용해 특정 의존성 버전에 고정시키는 것이 중요하다”고 강조했다.

연구팀은 또 “전통적인 CVE 기반 보안 도구로는 이런 공급망 공격을 탐지할 수 없다. 프로젝트에 코드가 유입되기 전에 악성 패키지를 사전에 탐지하고 차단하는 실시간 보안 도구가 필수적”이라면서 “보이지 않는 iframe, 난독화된 웹훅 유출, 합법적 SaaS 인프라 악용 등의 전술이 더욱 모듈화되고 은밀해질 것이며, 이에 대해 지속적인 경계가 필요하다”고 경고했다.