신종 악성코드 '샤이 훌루드 3.0', 소프트웨어 공급망을 조용히 침투하다

신종 악성코드 ‘샤이 훌루드 3.0(Shai Hulud 3.0)’이 공개되면서 오픈소스 기반 소프트웨어 공급망 보안에 대한 우려가 다시 고조되고 있다. 이번 변종은 기존 악성코드보다 더욱 정교하게 진화했고, 탐지를 피하기 위한 은폐 기술까지 강화된 것으로 알려졌다.

샤이 훌루드는 지난 9월 처음 발견된 악성코드로, 전통적인 엔드포인트 감염 방식 대신 자바스크립트 생태계를 겨냥해 소프트웨어 공급망을 악용하는 방식으로 명성을 얻었다. 특히 트로이 목마 형태로 위장된 npm(Node Package Manager) 패키지를 통해 개발자 인증 정보를 탈취하고 스스로 확산되는 특징을 지니고 있다.

이번에 새롭게 발견된 3.0 버전은 보안기업 아이키도 시큐리티(Aikido Security NV)에 의해 감지되었으며, 이전 버전보다 진일보한 기법이 적용됐다. 코드 모듈화, 오류 처리 개선, 난독화 수준 향상과 함께 윈도우를 포함한 다양한 자바스크립트 런타임 환경에 대한 호환성도 확보했다. 이러한 기술적 진보는 악성코드의 내구성과 침투력을 크게 끌어올렸다.

현재까지 이 변종은 상대적으로 소수의 패키지를 통해 제한적으로 배포되고 있다. 보안 전문가들은 이같은 제한적 배포가 테스트 목적의 파일럿 공격일 가능성이 높다고 분석한다. 사이버 공격자들이 실제 대규모 공격에 앞서 특정 환경에서 악성코드의 성능을 검증하고 있다는 것이다.

공급망 자체를 겨냥하는 이번 기법은 ‘개발자 환경’이 새로운 보안 사각지대가 되고 있음을 방증한다. 공격자는 오픈소스 의존성에 악성 코드를 삽입해 외부 방어막을 무력화시키고, 클라우드 인프라, 소스코드 저장소, 배포 파이프라인과 같은 핵심 시스템에 쉽게 접근할 수 있게 만든다.

몰입형 보안 플랫폼 기업 몬두(Mondoo Inc.)의 최고보안책임자 패트릭 뭉크(Patrick Munch)는 이메일을 통해 “샤이 훌루드 3.0은 일단 시동되면 더는 제어가 불가능한 '발사 후 방치(Fire-and-Forget)'형 공격 도구”라면서 “이러한 빠른 진화는 소프트웨어 공급망이 여전히 위협 세력의 주요 표적임을 여실히 보여준다”고 진단했다.

이어 그는 “핵심 개발 플랫폼을 장악하면 공격자는 손쉽게 인증 정보를 수집하거나 심각한 시스템 혼란을 초래할 수 있다”며 “앞으로 유사한 공급망 공격의 빈도와 위험도가 더욱 증가할 가능성이 높다”고 강조했다.

이 같은 악성코드의 진화는 개발자뿐 아니라 다양한 산업군에도 경종을 울린다. 오픈소스 환경에 대한 신뢰를 기반으로 운영되는 현대 소프트웨어 생태계의 구조적 취약점을 드러낸 이번 사례는 향후 정책적 대응과 기술적 보완을 요구하고 있다.