인섹시큐리티, “오픈소스 공급망 보안 위협 급증“ 경고

By곽중희

오픈소스 ESLint 해킹 사례 확인, SBOM 요구 증가

인섹시큐리티(대표 김종광)는 글로벌 보안 기업 옵스왓(OPSWAT)의 최신 연구를 인용해 오픈소스와 외부(서드파티) 소프트웨어를 통한 공급망 공격 위험이 급격히 증가하고 있다고 4일 밝혔다.

최근 소프트웨어 개발은 npm, 깃허브(GitHub) 등 저장소에서 수많은 오픈소스 패키지를 가져다 쓰는 방식이 일반화됐다. 그러나 외부 코드에 악성 요소가 포함되면 수백만 프로젝트로 피해가 확산되는 공급망 공격으로 이어질 수 있다.

실제로 전 세계 개발자들이 가장 많이 사용하는 오픈소스 도구인 ESLint 관련 패키지 eslint-config-prettier가 공격에 악용된 사례가 확인됐다. 해커는 npm 공식 메일을 위장한 피싱 공격으로 관리자의 접근 토큰을 탈취한 뒤, 악성 버전(8.10.1, 9.1.1, 10.1.6, 10.1.7)을 배포했다. 이 과정에서 설치 시 자동 실행되는 스크립트를 심어 피해자의 PC를 원격 제어할 수 있게 만들었으며, 같은 관리자가 맡던 다른 패키지(eslint-plugin-prettier, synckit 등)도 감염됐다.

인섹시큐리티는 “단 한 번의 피싱 공격이 수백만 프로젝트로 확산될 수 있는 만큼, 소프트웨어 자재명세서(SBOM) 제출 요구와 같은 규제 강화 움직임이 이어지고 있다”고 설명했다. SBOM은 소프트웨어 구성 요소를 명확히 파악해 취약점 발생 시 신속 대응하기 위한 조치다.

옵스왓의 공급망 보안 솔루션 ‘메타디펜더 소프트웨어 서플라이 체인(MetaDefender Software Supply Chain)’은 악성코드와 취약점, 하드코딩된 자격 증명을 탐지해 소프트웨어 공급망 전반의 투명성과 무결성을 확보한다. 깃허브, 깃랩, 아티팩토리 등 주요 리포지토리와 통합해 지속적으로 패키지 무결성을 점검하며, 다중 안티바이러스 탐지로 난독화된 악성코드까지 식별할 수 있다.

김종광 인섹시큐리티 대표는 “오픈소스 생태계는 신뢰에 기반하지만, 단 한 번의 사회공학 공격 성공으로도 수백만 하위 프로젝트가 영향을 받을 수 있다”며 “의존성 스캔은 물론 이메일 무해화 같은 사전 예방적 보안 조치가 필수”라고 강조했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.