인섹시큐리티가 오픈소스 공급망 공격의 심각성을 경고했다. 인섹시큐리티는 옵스왓(OPSWAT)의 최근 연구 결과를 인용하며 오픈소스 및 서드파티 소프트웨어 의존도가 높아지는 상황에서 공급망 보안 위협이 빠르게 증가하고 있다고 밝혔다. 이번 발표는 주요 인프라 보호 분야 글로벌 기업 옵스왓의 분석을 기반으로 한다.

 

현대 소프트웨어 개발은 npm, GitHub 같은 오픈소스 저장소에서 다수의 패키지를 가져와 조립하는 방식이 일반화됐다. 이러한 의존성이 늘어나면서 악성 코드가 삽입된 패키지를 통해 연쇄 피해가 발생하는 공급망 공격 위험이 확대되고 있다. 실제로 ESLint 관련 오픈소스 패키지인 eslint-config-prettier가 공격에 악용된 사례가 확인됐다. ESLint는 전 세계 개발자가 자바스크립트 코드 품질 검사를 위해 주간 3100만 회 이상 다운로드하는 도구다. 단 한 번의 피싱 공격이 수백만 프로젝트에 파급 효과를 일으킨 셈이다.

 

공격은 npm 공식 메일을 사칭한 피싱 이메일에서 시작됐다. 해커는 유지보수 관리자의 액세스 토큰을 탈취한 뒤 악성 버전(8.10.1, 9.1.1, 10.1.6, 10.1.7)을 npm 레지스트리에 배포했다. 동일 관리자가 관리하는 eslint-plugin-prettier, synckit 등도 악성 코드에 감염됐다. 이들 패키지는 설치 시 자동 실행되는 install.js 스크립트를 포함하고 있었으며 윈도우 환경에서 rundll32 명령을 호출해 DLL 기반 악성 행위를 수행했다. 이를 통해 공격자는 피해자의 PC를 손쉽게 장악할 수 있었다.

 

 

이번 사건은 소프트웨어 공급망이 단일 공격으로 광범위한 피해를 입을 수 있음을 보여준다. 각국 규제기관은 이에 대응해 기업들에게 SBOM(Software Bill of Materials) 제출을 요구하는 추세다. SBOM은 소프트웨어에 포함된 오픈소스·서드파티 구성 요소를 명확히 식별해 취약점 발생 시 신속 대응을 가능하게 한다.

 

옵스왓은 공급망 보안 강화를 위해 ‘메타디펜더 소프트웨어 서플라이 체인(MetaDefender Software Supply Chain™)’을 제공한다. 이 솔루션은 악성코드, 취약점, 하드코딩된 자격 증명 등 잠재적 위협을 탐지해 소프트웨어 공급망 전반의 투명성과 무결성을 확보한다. SBOM 분석을 통해 CVE-2025-54313과 같은 알려진 취약점을 식별하고, 30개 이상의 안티멀웨어 엔진을 활용한 메타스캔 멀티스캐닝으로 난독화된 멀웨어까지 탐지한다. 또한 GitHub, GitLab, JFrog Artifactory와 통합돼 패키지 무결성을 지속적으로 검사한다.

 

인섹시큐리티 김종광 대표는 “오픈소스 생태계는 신뢰에 기반하지만 이번 사례에서 볼 수 있듯 단 한 번의 사회공학 공격 성공만으로도 수백만 개 프로젝트에 영향을 미칠 수 있다”며 “공급망 공격은 점점 더 지능화되고 있는 만큼 의존성 스캔과 이메일 무해화 같은 사전 예방적 보안 조치는 필수”라고 강조했다.

 

헬로티 구서경 기자 |