npm 패키지 18종 해킹…자바스크립트 생태계에 공급망 보안 경고등

역대 최대 규모의 자바스크립트 패키지 저장소 공격이 발생하면서 소프트웨어 공급망 보안에 대한 경고음이 울리고 있다. 보안 기업 아이키도 시큐리티(Aikido Security)는 공격자가 자바스크립트 패키지 관리 도구 ‘npm’에서 널리 쓰이는 인기 패키지 18개를 해킹해 악성코드를 심었다고 발표했다. 피해 패키지들은 주간 다운로드 수만 약 26억 건에 달해 파급력이 매우 큰 것으로 분석된다.

npm은 웹 애플리케이션 개발에 널리 활용되는 코드 조각 저장소로, 전 세계 개발자들에게 공통 기능을 제공하는 툴로 자리 잡고 있다. 텍스트 정렬, 데이터베이스 연결, 사용자 입력 처리 등의 기능을 대신 수행해 개발 생산성과 일관성을 높여주는 만큼, 단일 보안사고로도 수백만 개의 프로젝트가 연쇄적으로 영향을 받을 수 있다.

해킹은 피싱 이메일을 주요 수단으로 이루어졌다. 아이키도에 따르면 공격자는 npm 공식 지원팀을 사칭한 이메일로 개발자에게 2단계 인증 업데이트를 유도했고, 해당 계정에 접근한 뒤 핵심 파일(index.js)에 악성코드를 삽입했다. 이 코드의 목적은 웹 브라우저 API를 가로채 암호화폐 거래 정보를 탈취하고, 결과적으로 자금을 공격자 지갑으로 전송하는 것이다.

아이키도는 악성 패키지가 배포된 지 단 5분 만에 문제를 감지했고, 1시간 이내에 대중에 공개해 확산을 적극 차단했다고 밝혔다. 하지만 bleepingcomputer에 따르면 이들 패키지는 미국 동부시간 오전 9시부터 11시 30분 사이 약 2시간 반 동안 npm에 노출됐다.

대표적인 피해 패키지로는 chalk(주간 3억 다운로드), debug(3억 5,800만 회), ansi-styles(3억 7,000만 회 이상) 등이 있으며, 모두 자바스크립트 생태계의 기반 구성요소로 통한다. 이들에서 파생된 하위 라이브러리나 웹 서비스까지 연결 고리를 따라 보안 위협이 확대될 수 있어 후속 조치가 시급하다는 지적이 나온다.

공격 주체는 아직 확인되지 않았으며, 특정 해킹 조직의 소행이라는 명확한 증거도 발견되지 않았다. 다만, 지난 7월 보도된 바에 따르면 북한 정부의 지원을 받는 것으로 알려진 라자루스(Lazarus) 그룹이 npm을 포함한 오픈소스 패키지를 해킹 대상에 올린 것으로 알려져 경계감이 커지고 있다.

이번 사안을 두고 사이버위협 인텔리전스 기업 SOCRadar의 최고 보안책임자(CISO) 엔사르 세커는 해당 해킹을 “소프트웨어 공급망 보안 역사에서 중대한 분수령”이라 평가했다. 그는 “공격자는 서버 해킹이나 기술적인 방어선을 뚫을 필요 없이, 단지 인증정보만 탈취해 수십억 사용자의 신뢰를 무너뜨렸다”며 오픈소스 생태계의 근본적 위험성을 지적했다. 특히 눈길을 끈 부분은 공격자가 npm의 공식 도메인과 유사한 ‘npmjs.help’를 이용해, 심리적 압박과 마감 압박으로 피싱 성공률을 높였다는 점이다.

소프트웨어 공급망 관리 기업 소나타입(Sonatype)의 CTO 일카 트루넨 역시 “이 같은 방식의 체계적인 패키지 탈취는 라자루스 같은 고도화된 공격 조직만이 시도할 수 있는 수준”이라며 “소규모 오픈소스 프로젝트의 유지보수 취약점을 이용한 전략적 접근으로 보인다”고 분석했다.

오픈소스 기반 개발 생태계가 이제 글로벌 소프트웨어 산업의 근간으로 자리 잡은 상황에서, 이번 npm 대규모 위변조 사건은 경각심을 한층 높이는 계기로 작용할 전망이다. 보안 업계는 개발자 계정 보호와 도메인 기반 인증 고도화, 타임라인 기반 코드 변경 감사 등 전방위 대응 전략이 시급하다고 경고하고 있다.