오픈소스 생태계를 노리는 공급망 공격
2025년 보안 위협의 핵심 키워드 중 하나는 소프트웨어 공급망 공격(Supply Chain Attack)입니다. 공격자들은 직접 기업 시스템을 침투하는 대신, 기업이 신뢰하고 사용하는 오픈소스 라이브러리나 개발 도구에 악성코드를 심어 동시에 수천 개 조직을 감염시킵니다.
타이포스쿼팅과 계정 탈취 수법
대표적인 수법으로는 npm, PyPI 등 패키지 저장소에 인기 라이브러리와 이름이 유사한 악성 패키지를 등록하는 타이포스쿼팅(Typosquatting)과, 관리자 계정을 탈취하여 정상 패키지에 악성 버전을 배포하는 방식이 있습니다. 2025년에는 인기 npm 패키지의 관리자 계정이 피싱으로 탈취돼 수백만 건의 악성 설치가 발생한 사례가 보고됐습니다.
개발 보안(DevSecOps) 내재화 필요
공급망 공격에 대응하기 위해서는 소프트웨어 자재명세서(SBOM) 관리, 의존성 자동 취약점 스캔, 패키지 무결성 검증(해시 고정), CI/CD 파이프라인 보안 강화가 필수입니다. 외부 라이브러리는 도입 전 반드시 보안 검토 절차를 거쳐야 합니다.
