2024년 말까지 총 14,000개 악성 패키지가 오픈소스 프로젝트에서 발견, 2023년말 대비 50% 증가
카스퍼스키(지사장 이효은)는 오늘, 2024년 말까지 오픈소스 프로젝트에서 총 14,000개의 악성 패키지를 발견했다고 보고했다. 이는 2023년 말과 비교했을 때 50% 증가한 수치이다. 카스퍼스키는 2024년 한 해 동안 4,200만 개의 오픈소스 패키지 버전을 점검하여 취약점을 조사했다.
오픈소스는 누구나 소스 코드를 검사, 수정, 개선할 수 있는 소프트웨어다. 널리 사용되는 오픈소스 패키지에는 GoMod, Maven, NuGet, npm, PyPI 등이 있으며, 이들은 수많은 애플리케이션의 기반이 되는 도구로서, 개발자들이 사전에 구축된 코드 라이브러리를 쉽게 검색하고 설치하며 관리할 수 있도록 도와준다. 이를 통해 기존 코드를 재사용하여 소프트웨어를 보다 간편하게 개발할 수 있다. 공격자들은 이러한 인기 있는 패키지들의 인기를 악용하고 있다.
2025년 3월, 라자루스 그룹(Lazarus Group) 이 여러 개의 악성 npm 패키지를 배포한 사실이 보고되었으며, 이 패키지들은 삭제되기 전까지 여러 차례 다운로드 되었다. 해당 패키지에는 자격 증명, 암호화폐 지갑을 탈취하고 백도어를 배포하는 악성코드가 포함되어 있었으며, Windows, macOS, Linux 개발자 시스템을 모두 대상으로 삼았다. 공격자들은 깃허브 저장소를 활용해 신뢰성을 높였으며, 이는 그들의 정교한 공급망 공격 수법을 보여준다.
카스퍼스키의 GReAT(글로벌 연구 분석팀)도 이 공격과 관련된 다른 npm 패키지를 발견하였다. 이러한 악성 npm 패키지는 웹 개발, 암호화폐 플랫폼, 기업용 소프트웨어에 통합되었을 수 있으며, 이는 광범위한 데이터 유출 및 재정 손실 위험을 초래할 수 있다.
2024년, XZ Utils 5.6.0 및 5.6.1 버전에서 정교한 백도어가 발견되었는데, 이는 리눅스 배포판에서 널리 사용되는 압축 라이브러리이다. 신뢰받는 기여자에 의해 삽입된 이 악성코드는 SSH 서버를 대상으로 하며, 원격 명령 실행을 가능하게 하여 전 세계 수많은 시스템을 위협하였다. 성능 이상을 통해 광범위하게 악용되기 전에 탐지된 이 사건은 공급망 공격의 심각성을 다시 한번 강조했다. XZ Utils는 운영체제, 클라우드 서버, IoT 기기에 필수적인 요소로, 이의 손상은 핵심 인프라 및 기업 네트워크에 심각한 위협이 된다.
또한 2024년, 카스퍼스키의 GReAT 팀은 chatgpt-python, chatgpt-wrapper 와 같은 악성 파이썬 패키지가 PyPI에 업로드된 것을 발견했다. 이 패키지들은 챗GPT API 와 상호작용하는 합법적인 도구처럼 위장되어 있었으며, 자격 증명 탈취 및 백도어 배포를 목적으로 설계되었다. 공격자들은 AI 개발의 인기를 악용하여 개발자들을 속이고 이러한 악성 패키지를 다운로드하게 만들었다. 해당 패키지는 AI 개발, 챗봇 통합, 데이터 분석 플랫폼 등에 사용되었을 수 있으며, 민감한 AI 워크플로우 및 사용자 데이터를 위협한다.
카스퍼스키 GReAT의 드미트리 갈로프 리서치 센터장은 ”오픈소스 소프트웨어는 현대 기술 솔루션의 근간이지만, 그 개방성이 이제는 무기로 사용되고 있다. 2024년 말 기준 악성 패키지 수가 50% 증가했다는 사실은, 공격자들이 인기 있는 패키지에 정교한 백도어 및 정보 탈취 도구를 적극 삽입하고 있음을 보여준다. 철저한 검증과 실시간 모니터링 없이는, 단 하나의 손상된 패키지가 전 세계적인 침해를 야기할 수 있다. 기업들은 다음 XZ Utils 수준의 공격이 성공하기 전에 공급망 보안을 확보해야 한다”라고 말했다.
카스퍼스키 이효은 한국지사장은 “디지털 전환의 글로벌 리더인 대한민국은 오픈소스 공급망 위협에 특히 취약하다. 공격자들은 AI 프레임워크, 시스템 구성요소 등 인기 있는 툴킷에 악성코드를 삽입하여 개발자의 신뢰를 악용한다. 한국의 핀테크, 스마트 제조, IoT 산업이 오픈소스 기술에 크게 의존하고 있는 현실을 고려할 때, 이러한 위협은 더욱 심각하다. 공격 방식은 기술적 취약점에서 사회공학적 기법으로 진화하고 있으며, 여기에는 유지관리자 사칭, 합법적 계정 탈취 등이 포함된다. 기업들은 개발부터 배포까지 실시간 코드 스캐닝과 엔드 투 엔드 검증을 포함한 선제적 방어 시스템을 구축해야 한다. 카스퍼스키는 사이버 공격을 사전에 차단하기 위해 위협 인텔리전스 공유와 자동 모니터링을 활용하고, 오픈소스 리스크 관리를 전체 사이버 보안 전략에 통합할 것을 권장한다”라고 말했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[단독2] “오늘부터 쿼드마이너 소스코드 순차 공개 시작”…나이트스파이어 해킹조직과 데일리시큐 2차 인터뷰 공개](https://www.dailysecu.com/news/photo/202506/166995_195719_2750.jpg)
