링크복사
공유
댓글
추천
스크랩
인쇄
글자크기

링크가 복사되었습니다.

글자크기

가

작게

가

보통

가

크게

가

매우크게

테크 블록체인 암호화폐 인공지능

오픈소스 덮친 ‘TrapDoor’…크립토 개발자 지갑 키까지 노렸다

정민석 기자

2026.05.26 (화) 16:50

오픈소스 패키지 저장소를 겨냥한 악성코드 캠페인 ‘TrapDoor’가 확산하며 크립토 개발자의 지갑 키와 클라우드 자격 증명, 소스코드 토큰까지 노렸다고 전했다.

npm·PyPI·Crates.io에 악성 패키지가 퍼졌고 AI 코딩 보조도구 설정까지 악용한 정황이 드러나 개발 환경 전반의 공급망 보안 경고가 커졌다고 밝혔다.

오픈소스 덮친 ‘TrapDoor’…크립토 개발자 지갑 키까지 노렸다 / TokenPost.ai

크립토와 블록체인 개발자가 자주 쓰는 오픈소스 생태계를 겨냥한 악성코드 캠페인 ‘TrapDoor’가 포착됐다. 이번 공격은 지갑 키와 클라우드 자격 증명, 소스코드 접근 토큰까지 노린 정교한 공급망 공격으로, 개발 환경 전반의 보안 경고음을 키우고 있다.

보안 연구진에 따르면 이번 캠페인은 npm, PyPI, Crates.io 등 주요 패키지 저장소를 동시에 겨냥했다. 30개가 넘는 악성 패키지와 300개 이상의 감염 버전이 짧은 기간에 퍼졌고, 공격은 2026년 5월 22일 전후로 본격화된 것으로 파악됐다. 깃허브(GitHub)는 이보다 앞선 5월 20일 내부 저장소에 대한 무단 접근을 보고한 바 있다.

이번 공격의 특징은 단일 업로드가 아니라 여러 계정을 이용해 패키지를 ‘파도’처럼 흩뿌렸다는 점이다. 이 때문에 초기 탐지가 어려웠고, 악성코드는 평범한 의존성 업데이트처럼 숨을 수 있었다. 연구진은 각 패키지가 비슷한 동작 패턴을 보였고, 공격자들이 공유한 악성 프레임워크에 연결돼 있다고 봤다.

TrapDoor는 설치 과정에서 자동 실행되도록 설계됐다. 자바스크립트 패키지는 post-install 스크립트, 파이썬 패키지는 import 과정, 러스트 패키지는 빌드 스크립트를 통해 악성 행위를 시작한다. 이후 SSH 키, API 토큰, 환경 변수, 브라우저 저장 자격 증명 등을 훑어 수집하고, 확보한 정보는 공격자 서버로 전송된다. 일부 사례에선 개발 도구의 시작 프로세스를 건드려 지속성까지 노린 정황도 확인됐다.

특히 이번 캠페인은 크립토 관련 파일과 서비스에 집중했다. 바이낸스(Binance), 메타마스크(MetaMask), 코인베이스(Coinbase), 솔라나(Solana) 기반 도구와 연결된 지갑 정보와 설정 파일을 찾는 방식이다. 여기에 AWS와 깃허브(GitHub) 접근 토큰, 원격 접속에 쓰이는 SSH 키까지 노려 개인 장비와 기업 시스템 모두를 위협했다.

[토큰분석] "은행의 진짜 싸움은 대차대조표가 아닌 '레일'"... 모건스탠리·올리버와이먼 825억 달러 재편 보고서

알파리포트 전문 보기 →

눈에 띄는 부분은 AI 개발 도구까지 건드렸다는 점이다. 일부 악성 패키지는 .cursorrules, CLAUDE.md 같은 설정 파일을 활용해 AI 코딩 보조도구의 동작을 왜곡하도록 설계됐다. 단순히 코드를 실행하는 수준을 넘어, 개발자가 AI를 활용하는 작업 흐름 자체를 악용하려 했다는 의미다.

이번 ‘TrapDoor’는 오픈소스 의존성이 많은 크립토 업계의 구조적 취약성을 다시 보여준다. 지갑 키와 클라우드 계정, 소스코드 권한이 한 번에 노출될 수 있는 만큼, 개발 환경의 패키지 검증과 접근 통제는 갈수록 더 중요한 방어선이 되고 있다.

기사요약 by TokenPost.ai 🔎 시장 해석 이번 ‘TrapDoor’ 공격은 단일 취약점이 아닌 오픈소스 생태계 전반을 노린 공급망 공격으로, 크립토 산업의 구조적 리스크를 다시 드러냈다. 특히 다양한 패키지 저장소(npm, PyPI, Crates.io)를 동시에 겨냥하고 다계정 업로드 전략을 활용해 탐지를 회피하면서, 개발 환경 자체가 공격 표면이 되고 있음을 보여준다. 💡 전략 포인트 패키지 의존성 검증 자동화(SBOM, 서명 검증)와 최소 권한 원칙(Access Control) 강화가 핵심 대응 전략이다. CI/CD 환경에서 토큰 및 키 분리 저장, 주기적 회전(Rotation), 이상 행위 탐지 도입이 필수적이다. 또한 AI 코딩 도구 사용 시 외부 입력 및 설정 파일 검증 절차를 추가해야 한다. 📘 용어정리 공급망 공격: 소프트웨어 개발·배포 과정에 침투해 다수 사용자에게 악성코드를 확산시키는 공격 방식 의존성 패키지: 개발자가 기능 구현을 위해 외부에서 가져다 쓰는 코드 라이브러리 post-install 스크립트: 패키지 설치 직후 자동 실행되는 코드로, 악성코드 삽입에 자주 악용됨 토큰(Token): API나 GitHub 등 서비스 접근 권한을 대신하는 인증 키

💡 자주 묻는 질문 (FAQ)

Q. TrapDoor 공격이 왜 이렇게 위험한가요?

이 공격은 특정 개인이 아니라 개발에 사용되는 오픈소스 패키지를 감염시켜, 다수의 개발자와 기업 환경에 동시에 침투할 수 있는 공급망 공격입니다. 한 번 설치되면 지갑 키, API 토큰, 클라우드 계정 등 핵심 정보가 자동으로 탈취될 수 있어 피해 규모가 빠르게 확산될 수 있습니다.

Q. 일반 개발자도 영향을 받을 수 있나요?

네, 특히 npm이나 PyPI 같은 저장소에서 패키지를 자주 설치하는 개발자는 누구나 영향을 받을 수 있습니다. 악성 패키지가 정상 업데이트처럼 보이도록 설계되어 있어, 별다른 의심 없이 설치하면 감염될 가능성이 있습니다.

Q. 이런 공격을 예방하려면 어떻게 해야 하나요?

패키지 출처와 유지관리 상태를 반드시 확인하고, 자동 설치보다는 검증된 버전만 사용하는 것이 중요합니다. 또한 API 키와 토큰은 별도로 관리하고 주기적으로 변경하며, 개발 환경에서 이상 트래픽이나 비정상 실행을 감지하는 보안 도구를 함께 사용하는 것이 도움이 됩니다.

TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.

본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.

광고문의 기사제보 보도자료