글로벌 파일 및 소프트웨어 보안 기업 리버싱랩스(ReversingLabs, CEO 마리오 북산, 이하 ‘RL’)가 세 번째 연례 소프트웨어 공급망 보안 보고서를 발표했다.

보고서에 따르면 오픈 소스 및 타사 상용 소프트웨어의 결함과 AI 및 암호화폐 개발 파이프라인을 표적으로 하는 악성 캠페인의 정교한 소프트웨어 공급망 공격이 증가하고 있다.

특히 오픈 소스 소프트웨어는 2024년에도 공급망 위험의 핵심 요소로 남아 있었다. 예를 들어 공개적으로 액세스 가능한 오픈 소스 패키지를 통한 개발 비밀 노출 사건은 2023년에 비해 12% 증가했다.

또한 중요하고 악용 가능한 소프트웨어 결함은 가장 널리 사용되는 오픈 소스 패키지에서도 계속 숨어 있었다. 세 개의 주요 오픈 소스 패키지 관리자에서 총 6억 5천만 회 이상의 다운로드를 차지하는 30개의 오픈 소스 패키지를 스캔한 결과 패키지당 평균 6개의 중요 심각도 결함과 33개의 높은 심각도 결함이 발견됐다.

그러나 오픈 소스 소프트웨어는 소프트웨어 공급망 위험의 한 가지 원인일 뿐이다. 상용 및 오픈 소스 운영체제, 비밀번호 관리자, 웹 브라우저 및 가상 사설망(VPN) 소프트웨어를 포함해 20개 이상의 상용 소프트웨어 바이너리를 RL이 스캔한 결과 타사 상용 바이너리에 숨어 있는 소프트웨어 위험의 증거가 발견됐다.

RL이 스캔한 많은 패키지는 노출된 비밀, 활발하게 악용되는 소프트웨어 취약점, 가능한 코드 변조 증거 및 부적절한 애플리케이션 강화의 발견으로 인해 보안 등급이 실패로 판정됐다.

한편 이번 보고서의 주요 결과로 ▲상용 SW 및 오픈 소스 패키지에 숨은 취약점 ▲코드 부패 ▲암호화폐 공격 ▲AI 공급망 위협 증가 등을 꼽았다.

타사 상용 소프트웨어 및 오픈 소스 취약점

소프트웨어 공급망 보안에 대한 대부분의 대화는 오픈 소스 소프트웨어 패키지에 초점을 맞추지만 가장 두드러진 위험은 폐쇄 소스 상용 소프트웨어에 있었다. RL은 6개의 주요 공급업체에서 20개의 서로 다른 버전의 VPN 클라이언트를 스캔했으며 다음과 같은 우려스러운 추세를 발견했다.

20개의 VPN 패키지 중 7개에는 하나 이상의 패치 필수 및/또는 악용된 소프트웨어 취약점이 포함되어 있었다. 또한 스캔한 20개의 VPN 패키지 중 4개에는 노출된 개발자 비밀이 포함되어 있는 등 심각한 위험이 오픈 소스 패키지에 계속 숨어 있었다.

주요 위험은 타사 상용 소프트웨어에 있지만 오픈 소스 소프트웨어 모듈 및 코드 저장소는 2024년에도 여전히 대부분의 공급망 위험을 차지했다. RL은 널리 사용되는 오픈 소스 모듈에 숨어 있는 심각하고 악용 가능한 소프트웨어 결함, 구성 오류 및 기타 문제를 식별했으며, 이는 상당한 위험을 초래한다. 오픈 소스 위험의 추가 예는 다음과 같다.

만연한 코드 부패

인기 있는 npm, PyPI 및 RubyGems 패키지에 대한 RL의 분석 결과 많은 널리 사용되는 오픈 소스 모듈에 오래되고 오래된 오픈 소스 및 타사 소프트웨어 모듈이 포함되어 있음이 밝혀졌다.

한편, 주간 다운로드 수가 3000개에 육박하고 16개의 종속 애플리케이션이 있는 npm 패키지에 대한 RL의 스캔에서 ▲7년 이상 코드 업데이트가 없음 ▲43개의 '중요' 심각도 및 81개의 '높음' 심각도로 평가된 164개의 개별 코드 취약점 ▲악성 코드에 의해 활발하게 악용된 것으로 알려진 7개의 소프트웨어 취약점 등을 확인했다.

암호화폐 앱에 대한 공격

2024년에는 암호화폐 거래소, 지갑 및 최종 사용자 애플리케이션을 대상으로 하는 소프트웨어 공급망 공격이 줄을 이었다. 암호화폐 중심 공격자는 정교하고 고도의 터치 기술을 사용하여 중요한 암호화폐 애플리케이션 및 인프라에 액세스했다.

보고서는 파이썬 패키지인 aiocpa에서 감지된 악성 코드에 대한 연구를 간략하게 설명했다.

AI 공급망 대한 위협 증가

이번 보고서는 또한 AI 및 대규모 언어 모델 머신 러닝 애플리케이션 개발자가 사용하는 개발 인프라 및 코드를 대상으로 하는 일련의 악성 소프트웨어 공급망 캠페인을 문서화한다.

RL 연구원은 허깅 페이스(Hugging Face) 오픈 소스 플랫폼(AI 및 ML 개발자의 주요 리소스)에 내장된 보호 기능을 회피하면서 Pickle 직렬화 파일에 악성 코드를 배치하는 'nullifAI'라는 악성 기술을 발견했다.

RL의 CEO 마리오 북산(Mario Vuksan)은 “2025년 보고서는 소프트웨어 공급업체와 엔터프라이즈 구매자가 직면한 과제를 강조한다.”라며 “이는 우리가 구축하고 배포하는 소프트웨어에 대한 더 나은 통제를 확립해야 할 필요성을 강화한다. 특히 소프트웨어 공급망 전반에 걸쳐 AI가 부상함에 따라 더욱 그렇다.”라고 말했다.