카스퍼스키가 2024년 오픈소스 생태계를 겨냥한 공급망 공격이 전년 대비 50% 증가했다는 분석 보고서를 발표했다. 전 세계적으로 악성 패키지의 수가 급증하며 오픈소스 기반 개발 환경 전반에 걸쳐 보안 위협이 심화되고 있다는 경고다.

 

카스퍼스키는 2024년 말까지 전 세계 오픈소스 프로젝트에서 약 1만4000개의 악성 패키지를 발견했다고 밝혔다. 이는 2023년 말 기준보다 50% 증가한 수치로, 전체 4200만 개 오픈소스 패키지 버전을 점검한 결과다. 악성 패키지는 GoMod, Maven, NuGet, npm, PyPI 등 다양한 플랫폼에서 발견됐으며 소프트웨어 개발 과정에 쉽게 통합돼 공급망 전체를 위협하는 도구로 악용되고 있다.

 

보고서에 따르면, 2025년 3월 라자루스 그룹은 여러 개의 악성 npm 패키지를 배포한 사실이 확인됐다. 이들은 자격 증명 탈취, 암호화폐 지갑 공격, 백도어 삽입 등의 기능을 갖췄으며 윈도우, 리눅스, macOS 개발자를 모두 표적으로 삼았다. 카스퍼스키의 글로벌 연구 분석팀(GReAT) 또한 해당 공격과 관련된 추가 악성 패키지를 확인한 바 있다.

 

 

2024년 초, 리눅스용 압축 라이브러리 ‘XZ Utils’에서 발견된 백도어 역시 글로벌 공급망 공격의 심각성을 부각시켰다. 신뢰받는 기여자에 의해 삽입된 해당 악성코드는 원격 명령 실행이 가능해 전 세계 서버, 클라우드, IoT 인프라에 광범위한 위협을 야기할 수 있었다. 탐지 전까지 실사용 환경에 광범위하게 노출됐다는 점에서 공급망 보안의 허점을 상징적으로 보여줬다.

 

또한, GReAT는 PyPI에서 ‘chatgpt-python’, ‘chatgpt-wrapper’와 같은 AI 관련 악성 패키지도 발견했다. 이들은 챗GPT API와 상호작용하는 정상 도구처럼 위장했지만, 실상은 자격 증명 탈취와 백도어 배포를 목적으로 설계된 것으로 드러났다. 이러한 위협은 AI 개발 생태계에 직접적인 피해를 유발할 수 있다는 점에서 주의가 요구된다.

 

카스퍼스키 측은 “한국은 디지털 전환 속도가 빠르고 핀테크, 스마트제조, IoT 분야에서 오픈소스 의존도가 높아 공급망 공격에 더욱 취약하다”고 지적하며 패키지 유지관리자 검증, 실시간 코드 스캐닝, 위협 인텔리전스 연계 등 전방위적 대응이 필요하다고 강조했다. 공급망 보안 확보는 단순한 기술 검증을 넘어, 전체 개발 체계에 대한 전략적 방어 접근이 요구된다는 설명이다.

 

카스퍼스키는 안전한 오픈소스 활용을 위해, 사용 중인 구성요소 모니터링, 위협 징후 확인을 위한 컴프러마이즈 어세스먼트(Compromise Assessment), 신뢰도 기반 패키지 평가, 신규 보안 게시판 구독 등의 보안 수칙을 제시했다.

 

헬로티 구서경 기자 |