디지털 인프라의 기반을 이루는 오픈소스 소프트웨어(OSS) 생태계가 사이버 보안 위협의 새로운 전장으로 떠오르고 있다. 최근 보고서에 따르면, 중국·러시아 등과 연계된 사이버 행위자들이 주요 OSS 프로젝트에 기여하며, 코드 수준이 아닌 ‘기여자’ 수준의 침투가 본격화되고 있는 것으로 드러났다. 특히 생성AI, 네트워크 보안 등 민감한 분야에서 이들의 활동이 활발하게 포착되면서, 기업의 소프트웨어 공급망에 대한 경각심이 높아지고 있다.

고위험 기여자, 생성AI용 OSS 플랫폼에 실시간 침투

전략 정보 제공 기업 스트라이더 테크놀로지스(Strider Technologies, CEO 겸 공동 창립자 그렉 레베스크)가 ‘기다림: 오픈소스 코드 기여자 이해’ 보고서를 발표했다. 이 보고서는 러시아, 중국, 이란 등 국가 행위자와 직접적인 연계를 맺은 개인들이 깃허브(GitHub) 등 공개 OSS 플랫폼에서 활발히 활동하고 있음을 분석하고 있다.

보고서에 따르면, 오픈비노-제나이(OpenVINO-genai) 저장소의 기여자 중 21% 이상이 고위험 국가와 연계된 이력 또는 기관 소속 경력을 갖고 있었다. 이 저장소는 소비자 등급 기기에서 생성AI 모델을 실행하는 데 핵심적인 코드를 담고 있어, 공격자가 시스템 내부에 백도어를 심거나 악의적 기능을 삽입할 수 있는 통로가 될 수 있다.

스트라이더는 새로운 OSS 스크리닝 기능을 통해 분석한 결과, 다음과 같은 구체적 사례를 공개했다. 오픈비노-제나이 저장소의 활동적 기여자인 “아스-수보로프(as-suvorov)”는 과거 미국에 의해 승인된 소프트웨어 기업 MFI 소프트(Soft)에서 풀스택 개발자로 근무한 이력이 있다. MFI 소프트는 러시아 연방보호국(FSO) 산하 특수통신국을 위해 통신 및 신호 정보 분석을 수행한 기관으로 알려져 있다.

또 다른 활동 기여자인 “스바란디(sbalandi)”는 러시아 정보기술 기업 포지티브 테크놀로지스(Positive Technologies)에서 근무한 이력이 있으며, 이 회사는 러시아 정부를 위한 악의적인 사이버 작전을 지원한 혐의로 2021년 미국의 제재 대상에 오른 바 있다. 이러한 인물들이 참여한 프로젝트는 오픈비노 툴킷을 포함해 총 62개 이상의 다운스트림 프로젝트에 연결돼 있으며, 누적 다운로드 수는 100만 건 이상으로 나타났다.

사이버 작전의 무대가 된 오픈소스 생태계

보고서는 APT41(중국), 라자루스 그룹(북한), 코지 베어(러시아) 등 정부 지원 사이버 위협 그룹이 OSS 생태계를 악용해 민감한 데이터를 탈취하고 장기적인 사이버 첩보 활동을 수행해 왔다고 지적했다. 특히 파이썬 패키지 인덱스(PyPl) 공격, 로그4쉘(Log4Shell) 취약점, XZ Utils 백도어 사건 등 최근 주요 사례들이 이 같은 전략적 침투 방식의 결과물로 제시됐다.

스트라이더의 그렉 레베스크(Greg Levesque)는 “오픈소스 소프트웨어는 디지털 인프라의 핵심이지만, 코드의 출처나 기여자의 신원이 불분명한 경우가 많다.”라며 “중국과 러시아 등 국가들이 이 허점을 악용해 생태계 내 신뢰를 확보하고, 은밀한 백도어 삽입으로 파괴적 효과를 유도하고 있다.”고 밝혔다. 그는 “이제 조직은 코드의 기능뿐만 아니라, 기여자 정보에 기반한 신뢰성 판단이 필수적”이라고 강조했다.

스트라이더의 이번 보고서는 단순 코드 취약성 분석을 넘어, 기여자의 국가 배경과 과거 경력을 보안 리스크 평가에 포함해야 한다는 점을 강조한다. 특히 다국적 플랫폼 환경에서 작동하는 생성AI, 클라우드 컴퓨팅, 보안 솔루션 등 민감 분야에 OSS를 활용 중인 기업은 해당 소프트웨어에 대한 전방위적 신뢰 검증 체계를 갖출 필요성이 커지고 있다.

스트라이더는 이번 분석을 통해 OSS 공급망 침해의 위험성을 경고하고 있으며, 기업과 정부가 이 문제를 체계적으로 대응할 수 있도록 오픈소스 기여자 스크리닝 및 추적 기능을 지속적으로 고도화할 계획이다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.