오픈소스 소프트웨어는 개발 효율성과 비용 절감을 동시에 충족하는 기술로 주목받고 있다. 그러나 개방성과 접근성이 높은 구조는 악성코드 삽입이나 백도어 등 공급망 공격에 취약하다는 문제도 내포하고 있다. 최근 AI 개발과 클라우드 인프라 확대와 함께, 오픈소스 의존도는 더욱 높아졌으며 이에 따른 보안 위협 역시 급증하고 있다.

카스퍼스키(Kaspersky)는 2024년 말 기준 전 세계 오픈소스 프로젝트에서 총 1만4000개의 악성 패키지를 탐지했다고 밝혔다. 이는 2023년 말 대비 50% 증가한 수치로, 연간 4,200만 개의 오픈소스 패키지 버전을 점검한 결과다. 이들은 GoMod, Maven, NuGet, npm, PyPI 등 글로벌 소프트웨어 생태계에 깊숙이 자리 잡은 오픈소스 패키지들로, 공격자는 이러한 플랫폼의 인기를 활용하고 있다.

npm 공격: 라자루스 그룹, 암호화폐 탈취와 백도어 배포 실행

2025년 3월, 북한 연계 해커 조직 라자루스 그룹은 여러 개의 악성 npm 패키지를 배포했다. 이들 패키지는 삭제되기 전까지 여러 차례 다운로드됐으며, 자격 증명 탈취, 암호화폐 지갑 공격, 백도어 배포 등의 악성 행위를 수행했다. 이 공격은 Windows, macOS, Linux 개발 환경 모두를 대상으로 하며, GitHub 저장소를 통한 신뢰도 위장 수법이 사용되었다.

카스퍼스키 GReAT(Global Research and Analysis Team) 팀은 이와 유사한 추가적인 악성 npm 패키지를 발견하였으며, 웹 개발과 기업용 소프트웨어에 광범위하게 통합되었을 가능성이 있다고 경고했다.

XZ Utils: 백도어 삽입 통한 리눅스 시스템 위협

2024년에는 리눅스 배포판에서 광범위하게 사용되는 압축 라이브러리인 XZ Utils 5.6.0 및 5.6.1 버전에서 정교하게 설계된 백도어가 발견되었다. 해당 악성코드는 SSH 서버를 목표로 원격 명령 실행을 가능하게 했으며, 이는 운영체제와 클라우드 서버, IoT 인프라 전반에 심각한 위협을 초래할 수 있었다.

이 악성 행위는 신뢰받는 커뮤니티 기여자 계정을 통해 삽입되었으며, 공급망 신뢰의 근본적인 위험성을 드러냈다.

PyPI 기반 AI 관련 악성 패키지: 챗GPT API 위장 수법 등장

카스퍼스키는 AI의 인기를 노린 PyPI 악성 패키지도 보고했다. GReAT 팀은 ‘chatgpt-python’, ‘chatgpt-wrapper’ 등 챗GPT API를 악용한 악성 패키지를 발견했다. 이들은 정식 도구처럼 보이도록 위장되어 있었으며, 자격 증명 탈취와 백도어 삽입이 목적이었다. 이러한 패키지는 AI 개발, 챗봇 시스템, 데이터 분석 플랫폼에 사용되었을 가능성이 있으며, 민감한 데이터와 AI 워크플로우 보안을 위협할 수 있다.

철저한 검증과 엔드 투 엔드 대응 시스템 필요

카스퍼스키 GReAT의 드미트리 갈로프 리서치 센터장은 “단 하나의 손상된 패키지도 전 세계 침해를 야기할 수 있다”며 실시간 모니터링과 철저한 검증의 중요성을 강조했다. 공급망 보안은 단순한 위협 탐지 수준을 넘어, 코드 사용 전후의 전 과정에 걸친 선제적 대응 시스템 구축이 필요하다고 언급했다.

카스퍼스키는 오픈소스 보안을 위해 다음과 같은 대응책을 제시했다. ▲ 오픈소스 구성 요소 모니터링 솔루션 도입 ▲ 인프라 침해 여부 확인을 위한 Kaspersky Compromise Assessment 활용 ▲ 패키지 유지관리자의 신뢰성 점검 ▲ 최신 보안 위협 정보 구독을 통한 실시간 대응 체계 구축 등이 포함된다.

이러한 대응 방안은 단순한 보안 솔루션을 넘어, 전체 소프트웨어 개발 및 배포 체계에 보안 리스크 관리를 통합해야 한다는 메시지를 담고 있다. 카스퍼스키는 기업들이 공급망 보안을 전체 사이버 보안 전략의 핵심 축으로 인식하고, 자동화된 위협 감시 및 실시간 위협 인텔리전스를 적극 활용해야 한다고 강조하고 있다.

이효은 카스퍼스키 한국지사장은 “대한민국은 디지털 전환이 빠른 만큼 오픈소스 위협에도 민감하다”며 “핀테크, 스마트 제조, IoT 산업은 오픈소스에 크게 의존하고 있어 공급망 공격에 취약하다”고 말했다. 특히 기술적 취약점뿐 아니라 사칭, 계정 탈취 등 사회공학적 기법의 진화도 기업의 경계를 허물 수 있다고 지적했다.