“글로벌 오픈소스 도구, 공급망 공격에 악용돼”

[아이티데일리] 전 세계 개발자들이 사용하는 오픈소스 패키지가 해킹에 악용되는 등 공급망 공격 위험이 늘어나는 추세다.

인섹시큐리티는 4일 글로벌 인프라 보호(CIP) 기업 ‘옵스왓(OPSWAT)’의 최근 연구를 인용해 오픈소스 소프트웨어를 통한 공급망 공격 위험이 증가하고 있다고 경고했다.

개발자들은 ‘깃허브(GitHub)’, ‘엔피엠(npm)’ 같은 오픈소스 저장소에서 패키지를 가져와 소프트웨어를 개발하고 있다. 이러한 유행을 악용, 공격자들은 오픈소스 코드 안에 악성코드를 심어두고 연쇄적인 피해를 유발하는 ‘공급망 공격’을 일으키고 있다.

옵스왓에 따르면, 전 세계적으로 주간 3,100만 회 이상 다운로드되는 ‘ES린트(ESLint)’ 관련 오픈소스 패키지를 공격에 악용한 사례가 확인됐다. ES린트는 개발자들이 자바스크립트(Javascript) 코드를 검사할 때 사용하는 프로그램으로, 이번 공격에는 관련 오픈소스 패키지 중 ‘eslint-config-prettier’가 활용됐다.

해커들은 npm 공식 메일로 위장한 피싱 공격으로 유지보수 관리자의 접근 권한을 탈취했다.이후 이를 이용해 허가되지 않은 악성 버전을 npm 레지스트리에 배포했다. 같은 관리자가 맡고 있던 다른 패키지 역시 악성코드에 감염됐다.

공급망 공격이 늘어나는 가운데, 각국 규제 기관은 기업에 ‘소프트웨어 자재 명세서(Software Bill of Materials, SBOM)’ 제출을 요구하고 있다. SBOM은 소프트웨어에 사용된 모든 구성요소, 라이선스 정보 등을 기록한 목록으로, 취약점이나 보안 사고 발생 시 신속한 대응을 뒷받침한다.

옵스왓은 공급망 보호 솔루션 ‘메타디펜더 소프트웨어 서플라이 체인(MetaDefender Software Supply Chain)’을 제공하고 있다. 이 솔루션은 악성코드, 취약점, 자격 증명 등 잠재적 위협을 탐지해 투명성과 무결성을 확보한다. 모든 소프트웨어 구성 정보를 스캔함으로써 보안 위협 및 취약점 식별도 가능하다.

옵스왓의 국내 총판 인섹시큐리티 김종광 대표는 “오픈소스 생태계는 단 한 번의 공격만으로 수백만 개의 프로젝트에 영향을 미칠 수 있다”며 “공급망 공격은 점점 더 지능화되고 개인화 된 타깃을 노리는 만큼 의존성 스캔은 물론 이메일 무해화(email sanitization) 같은 사전 예방적 보안 조치는 더 이상 선택 사항이 아니라 필수 요건”이라고 조언했다