[이슈조명] 끝없이 진화하는 SW 공급망 공격…보안 기업도 당했다

[컴퓨터월드] 소프트웨어 공급망 공격이 전 세계 IT 생태계 전반을 위협하고 있다. 개발자들이 신뢰하는 수백만 다운로드 오픈소스 패키지에 악성코드를 심는 사건이 속속 발생하고, 전 세계 수천 개 기업이 사용하는 소프트웨어가 공격받아 고객 데이터를 탈취당하는 사고가 잇따르고 있다. 소프트웨어 공급망 보안을 강화하기 위해 미국 사이버 보안 및 인프라 보안국(CISA)은 소프트웨어 자재명세서(SBOM) 제출을 요구하고 있으며, 유럽연합(EU)도 사이버 복원력 법안을 마련, 2024년 12월 발효해 2027년부터 본격 시행한다. 국내도 지난해 소프트웨어 공급망 보안 가이드라인 1.0 버전을 마련하고 관련 준비를 서두르고 있다. 이에 따라 국내외 기업들도 보안 체계를 점검하고 개발자 교육을 확대하는 등 소프트웨어 공급망의 가시성과 투명성을 확보하기 위해 분주히 움직이고 있다.

오픈소스 패키지 보안 위협 급증

오픈소스 소프트웨어 패키지를 노린 보안 위협이 급격히 증가하고 있어 개발자들의 주의가 필요하다. 특히 개발자 시스템과 CI/CD(지속적 통합·배포) 파이프라인을 표적으로 한 데이터 탈취 공격이 전체 위협의 절반 이상을 차지하는 것으로 나타났다.

소프트웨어 보안 기업 소나타입(Sonatype)이 발표한 ‘오픈소스 멀웨어 인덱스 Q2 2025’ 보고서에 따르면, 2025년 2분기(4월~6월)에 발견된 오픈소스 멀웨어는 총 1만 6,279개로 전년 동기 대비 188% 증가했다. 2025년 2분기까지를 기준으로 소나타입의 자동 탐지 시스템은 악성 패키지를 총 84만 5,204개 발견했다.

데이터 탈취가 가장 큰 위협, 개발자 환경 집중 공격

2025년 2분기 발견된 오픈소스 멀웨어를 유형별로 살펴보면 데이터 탈취가 55%로 가장 큰 비중을 차지했다. 시크릿 정보, 개인식별정보, 자격증명, API 토큰 등을 훔치도록 특화 설계된 4,400개 이상의 패키지가 확인됐다.

공격자들은 특히 개발자 시스템을 주요 표적으로 삼고 있다. 소나타입의 개릿 칼푸조스(Garrett Calpouzos) 수석 보안 연구원은 “개발자 머신에 독점 코드(Proprietary Code)가 있을 가능성은 있지만, 자동화된 공격으로 이를 찾아 공격자들이 수익화할 확률은 낮다”며 “그러나 개발자들은 공격자들이 정말 원하는 것을 갖고 있다. 바로 예측 가능한 위치에 있는 시크릿과 키들이다”라고 했다.

실제로 이번 분기에 발견된 악성 패키지들은 .git-credentials, AWS 시크릿, 환경변수 등을 탈취하고, CI/CD 파이프라인에서 사용되는 자격증명을 수집하는 데 집중한 것으로 조사됐다. 또한 탐지를 피하기 위해 시간 지연 페이로드와 암호화된 전송 기법을 사용하는 등 공격 기법도 고도화되고 있는 것으로 분석됐다.

암호화폐 채굴 감소, 데이터 손상 공격은 두 배 증가

이번 조사에서 암호화폐 채굴을 목적으로 한 악성 패키지는 5%로 소폭 감소한 것으로 집계됐다. 이는 공격자들이 더 수익성이 높고 지속적인 공격 벡터로 방향을 전환했음을 의미하는 것이라고 보고서는 분석했다.

주목할 점은 데이터 손상을 목적으로 한 멀웨어가 전체의 3%를 차지하면서 이전 대비 2배 증가했다는 것이다. 400개 이상의 사례가 발견돼 단순한 정보 탈취를 넘어 시스템 파괴를 시도하는 공격이 늘어나고 있음을 보여준다.

지속적 모니터링과 자동화된 방어 필요

보안 전문가들은 오픈소스 생태계를 노린 지속적 공격 시도에 대비해 포괄적인 보안 전략이 필요하다고 조언한다. 특히 전통적인 안티바이러스 도구로는 탐지하기 어려운 최근의 위협들을 차단하기 위해서는 머신러닝과 실시간 행동 분석을 활용한 자동화된 탐지 시스템이 필수적이라고 강조했다.

소나타입 보안 연구팀은 보고서에서 “자격증명 도용 스크립트부터 개발자 시크릿을 몰래 탈취하도록 설계된 패키지까지, 2025년 2분기는 데이터 탈취가 오픈소스 생태계에서 가장 지속적이고 표적화된 위협임을 보여줬다”며 “공격자들은 난독화된 페이로드, 사칭 전술, 제로데이 회피 방법을 활용해 npm과 PyPI 같은 널리 사용되는 공개 저장소에 스파이웨어를 심는 기법을 지속적으로 개선하고 있다”고 경고했다. npm은 노드닷제이에스(Node.js)의 패키지를 관리할 수 있는 도구이며, PyPI는 파이썬(Python)을 위한 오픈소스 패키지 저장소다.

수백만 개발자 위험 노출

소프트웨어 공급망을 노린 사이버 공격이 전례 없이 급증하면서 전 세계 개발자들이 심각한 위험에 노출되고 있다. 특히 개발자들이 널리 사용하는 npm과 PyPI 같은 오픈소스 패키지 저장소가 집중 공격을 받으면서 한 번의 공격으로 수백만 명의 개발자가 동시에 피해를 볼 수 있다는 우려가 현실화되고 있다.

오픈소스 SW 공급망 보안 스타트업인 소켓(Socket)이 최근 발표한 연구 결과에 따르면, 지난 7월 한 달 동안 주요 오픈소스 패키지들이 연쇄적으로 공격을 받아 악성코드가 유포된 사건이 발생했다. 특히 주간 280만 건 다운로드를 기록하는 ‘is’ 패키지가 해킹당해 멀웨어가 삽입된 사건이 가장 심각했다. is 패키지는 자바스크립트 개발에서 사용되는 유틸리티 라이브러리로, 공격자들이 장악에 성공함으써 수많은 하위 프로젝트들이 동시에 감염된 것으로 파악됐다.

이러한 SW 공급망 공격 양상은 갈수록 정교해지고 있다. 소켓 연구팀이 발견한 악성 패키지 중 4가지는 단순한 정보 탈취를 넘어 키보드 입력 내용 기록, 화면 캡처, 웹캠 영상 촬영, 시스템 정보 수집 등 종합적인 감시 기능을 수행했다. 이들 패키지는 npm에 3개, PyPI에 1개가 배포됐으며 총 5만 6천 건 이상 다운로드됐다. 특히 ‘dpsdatahub’라는 패키지는 보이지 않는 iframe을 생성해 사용자 입력을 몰래 기록하고, 5초마다 공격자가 제어하는 AWS 람다(AWS Lambda) 엔드포인트로 데이터를 전송하는 치밀한 구조를 보였다.

SW 공급망 공격의 파괴력을 여실히 보여준 사례도 발생했다. 프리랜서 개발 플랫폼인 톱탈(Toptal)의 깃허브 조직 계정이 해킹당한 사건이다. 공격자들은 톱탈의 깃허브 계정을 장악한 후 73개의 비공개 저장소를 공개로 전환하고, 10개의 악성 npm 패키지를 배포했다. 이 패키지들은 깃허브 인증 토큰을 탈취한 뒤 리눅스 시스템에서는 ‘sudo rm -rf --no-preserve-root /’ 명령을, 윈도우에서는 ‘rm /s /q’ 명령을 실행해 전체 파일 시스템을 삭제하려 시도했다. 5천 건 이상 다운로드된 이 패키지들은 발견 즉시 제거됐지만, 이미 설치한 몇몇 개발자들은 심각한 피해를 입은 것으로 알려졌다.

정당한 서비스 악용해 탐지 회피

특히 우려되는 부분은 공격자들이 정당한 서비스를 악용해 탐지를 회피하고 있다는 점이다. ‘m0m0x01d’ 패키지의 경우 보안 테스트 도구인 버프 컬래버레이터(Burp Collaborator)를 명령제어(C2) 채널로 활용해 키 입력 내용을 유출했으며, ‘nodejs-backpack’ 패키지는 슬랙(Slack) 웹훅(Webhook)을 통해 시스템 정보를 전송했다. 보안 전문가들은 이런 방식이 일반적인 네트워크 보안 도구로는 탐지하기 어려워 공격의 성공률을 크게 높이고 있다고 지적한다.

소켓은 또한 npm 생태계에서 널리 사용되는 ‘form-data’ 패키지에서 발견된 치명적 취약점(CVE-2025-7783)을 예로 들며 SW 공급망 공격의 또 다른 양상을 전했다. 이 패키지는 주간 1억 건 이상 다운로드되는 핵심 라이브러리인데, 예측 가능한 경계값 생성으로 인해 HTTP 매개변수 오염 공격에 취약하다는 것이 밝혀졌다. 공격자들은 이를 악용해 멀티파트 요청 파싱을 방해하고 의도하지 않은 매개변수를 주입할 수 있는 것으로 알려졌다.

소켓 연구팀은 이런 공격들이 체계적이고 지속적으로 이뤄지고 있다고 분석하며 “공격자들이 npm의 메타데이터 접근성을 악용해 등록 이메일과 관리자 정보를 수집한 뒤 표적형 피싱 공격을 전개하고 있다. 특히 npnjs.com과 같은 가짜 도메인을 만들어 개발자 인증정보를 탈취한 후 정당한 패키지에 악성코드를 삽입하는 수법이 확산되고 있다”고 경고했다.

실시간 차단 도구 필요

이 같은 오픈소스 SW 공급망 공격에 대응하기 위해서는 개발자와 조직들이 즉각적인 대응책을 마련해야 할 필요가 있다. 소켓 연구팀은 “패키지 관리자들은 비밀번호를 재설정하고 모든 토큰을 순환시켜야 하며, 7월 18일 이전의 안전한 버전만 사용해야 한다”고 권고하면서 “자동 업데이트를 비활성화하고 잠금 파일을 사용해 특정 의존성 버전에 고정시키는 것이 중요하다”고 강조했다.

연구팀은 또 “전통적인 CVE 기반 보안 도구로는 이런 공급망 공격을 탐지할 수 없다. 프로젝트에 코드가 유입되기 전에 악성 패키지를 사전에 탐지하고 차단하는 실시간 보안 도구가 필수적”이라면서 “보이지 않는 iframe, 난독화된 웹훅 유출, 합법적 SaaS 인프라 악용 등의 전술이 더욱 모듈화되고 은밀해질 것이며, 이에 대해 지속적인 경계가 필요하다”고 경고했다.

수백만 다운로드 패키지까지 감염

전 세계 개발자들이 의존하는 npm 패키지 생태계는 이제 사이버 공격자들의 주요 표적으로 떠올랐다. 최근 발견된 다수의 공급망 공격 사례들은 오픈소스 소프트웨어의 신뢰성에 대한 심각한 우려를 제기하게 만든다.

특히 지난달에는 npm 생태계 역사상 최대 규모의 공급망 공격이 발생해 개발자들로부터 크게 주목받았다. 피싱 이메일에 속은 한 개발자의 계정이 탈취되면서 전 세계에서 주간 26억 건 이상 다운로드된 핵심 자바스크립트 패키지 18개가 악성코드에 감염된 것이다. 공격자들은 브라우저에서 암호화폐 거래를 가로채 사용자 자금을 탈취하려는 목적으로 정교한 악성코드를 삽입했다.

보안업체 아이키도시큐리티(Aikido Security)에 따르면, 9월 8일 오후 1시 16분(UTC) npm 저장소에서 대규모 악성 패키지 배포가 감지됐다. 피해 패키지는 ‘chalk(주간 3억 다운로드)’, ‘debug(주간 3억 5,760만 다운로드)’, ‘ansi-styles(주간 3억 7,141만 다운로드)’ 등 자바스크립트 개발의 핵심 구성요소들로, 전체 다운로드 수를 합치면 주간 총 26억 건을 넘어 역대 최대 파급력을 자랑했다.

암호화폐 탈취 목적, 피해는 미미

이번에 npm 패키지를 통해 배포된 악성코드의 공격 목표는 암호화폐 거래 탈취였다. 삽입된 코드는 브라우저에서만 실행되는 특성을 갖고 있어 운영체제나 파일시스템을 직접 감염시키지는 않지만, 웹 애플리케이션 사용자들의 암호화폐 자산을 노렸다. 악성코드는 메타마스크(MetaMask), 팬텀(Phantom) 등 주요 암호화폐 지갑 API에 연결해 거래 데이터를 변조하고, 사용자 인터페이스에는 정상적인 수신자 주소를 표시하지만 실제로는 공격자가 제어하는 주소로 자금을 전송하도록 했다.

특히 해당 악성코드는 이더리움, 비트코인, 솔라나, 트론, 라이트코인, 비트코인 캐시 등 다중 블록체인을 지원하며, 네트워크 트래픽과 애플리케이션 호출을 가로채 주소 형식을 인식한 후 유사하게 보이는 공격자 주소로 바꾸는 정교한 기능을 구현했다. 이러한 동작은 브라우저와 API 레벨 양쪽에서 작동하기 때문에 사기성 전송도 합법적으로 보이게 만들었던 것으로 분석된다.

아이키도의 찰리 에릭센(Charlie Eriksen) 연구원은 “악성 업데이트가 배포된 지 5분 만에 공격을 탐지하고 1시간 내에 대중에게 공개했다”고 밝혔다. 하지만 현지 외신 보도에 따르면 악성 패키지들은 미국 동부시간 기준 오전 9시부터 11시 30분까지 약 2시간 반 동안 npm에 노출됐던 것으로 알려졌다.

다만 이번 공격의 피해는 아직까지 미미한 수준인 것으로 파악된다. 공격자들이 사용한 이더리움 주소(0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976)를 추적한 결과, 실제 암호화폐 탈취 피해액은 50달러(약 7만 원)에 불과한 것으로 나타났다. 이는 악성 패키지의 노출 시간이 짧았던 데다 글로벌 커뮤니티가 빠른 대응을 한 덕분인 것으로 분석된다.

이번 사건은 올해 7월 발생한 ‘eslint-config-prettier’ 패키지 해킹 사건과 8월의 ‘Nx’ 패키지 침해에 이어 계속해서 발생하고 있는 대규모 npm 공급망 공격 중 하나로 기록될 전망이다. 특히 7월 사건에서도 피싱 이메일을 통한 계정 탈취가 공격 수법으로 사용됐다는 점을 기억해야 한다. 보안 전문가들은 npm 생태계의 구조적 취약성을 지적하는 한편, 특히 패키지 관리자들이 보안 인식을 강화할 필요성이 있다고 지적하고 있다.

오픈소스 성지 ‘깃허브’ 통해서도 공격

최근 오픈소스 패키지 레지스트리의 보안 강화로 인해 사이버 범죄자들이 새로운 공격 경로를 모색하는 가운데, 깃허브(GitHub) 리포지토리(Repository)를 정교하게 타이포스쿼팅(Typosquatting)해 개발자들을 유인하는 공격도 확인됐다.

이는 ‘바나나 스쿼드(Banana Squad)’로 알려진 위협 그룹의 사례로, 이들은 67개의 악성 리포지토리를 운영하면서 수백 개의 트로이목마화된 파이썬 파일을 유포한 것으로 파악돼 보안 업계의 주목을 받았다.

바나나 스쿼드는 2023년 체크막스 연구진에 의해 최초 식별된 위협 그룹으로, 초기 악성 도메인인 bananasquad.ru에서 그룹명이 유래했다. 이들의 최초 캠페인에서는 2023년 4월부터 다양한 사용자명을 사용해 수백 개의 악성 패키지를 무차별적으로 배포했으며, 이러한 사실이 발견돼 패키지가 제거되기 전까지 약 75,000회 다운로드를 기록했다.

지난 7월 리버싱랩스(ReversingLabs)에 의해 파악된 신규 악성 캠페인에서 바나나 스쿼드는 개발자가 신뢰할 수 있는 정상 파이썬 도구로 인식하도록 유사한 이름의 가짜 깃허브 리포지토리를 67개 운영한 것으로 조사됐다. 그리고 각 리포지토리에는 트로이목마화된 파이썬 파일들이 숨겨져 있었던 것으로 파악됐다. 특히 깃허브의 UI 특성을 악용해 코드에 긴 공백 문자열을 삽입하면 악성 백도어 코드를 화면 밖으로 밀어내 시각적으로 탐지하기 어렵게 만들 수 있다는 점을 노린, 다소 원시적이지만 교묘한 수법을 사용했다.

최근 깃허브를 노린 공급망 공격은 대규모 자동화 양상을 보이며 발전하고 있다. 2023년 중반부터 해커들이 타이포스쿼팅 공격을 대규모로 자동화해 수백만 개의 악성 리포지토리로 깃허브를 공격하고 있으며, 35,000개 이상의 파일에서 악성 URL이 발견되는 등 그 규모가 심각한 수준에 달하고 있다. 이 공격으로 10만 개 이상의 깃허브 리포지토리가 영향을 받았으며, 실제 수치는 수백만 개에 달할 것으로 추정된다.

자기복제형 웜 등장, 수백 개 패키지 감염

공격자들은 또한 단순한 타이포스쿼팅에서 벗어나, 자동화된 웜(Worm)과 인공지능 기법까지 접목해 소프트웨어 공급망을 집요하게 파고들고 있다.

지난달 npm 오픈소스 생태계에는 ‘샤이-훌루드(Shai-Hulud)’라는 이름의 자기복제형 ‘웜(worm)’ 형태의 악성코드가 등장해 수백 개의 패키지를 감염시킨 사건이 발생했다. 해당 사례는 최근 확산되고 있는 소프트웨어 공급망 공격의 새로운 형태로 주목받았다.

샤이-훌루드 악성코드는 감염된 개발자 계정을 통해 다른 패키지로 자동 전파되는 ‘웜’의 특징을 보였으며, 영화화된 프랭크 허버트(Frank Herbert)의 SF소설 ‘듄(Dune)’에 등장하는 거대한 사막 벌레(giant sandworms)의 이름을 차용했다. 지난달 미국의 사이버 보안 기업 리버싱랩스(Reversing Labs)는 샤이-훌루드 악성코드를 최초 발견했다고 발표하면서 감염 규모가 180여 개 패키지에서 수백여 개로 급속 확산되고 있다고 경고했다.

트렌드마이크로는 보고서를 통해 “샤이-훌루드 악성코드는 자기복제 메커니즘을 통해 npm 생태계 내에서 자율적으로 확산되며, 직접적인 공격자의 개입이 없어도 지속적으로 위협이 증식된다”고 분석했다.

시크릿 정보 수집해 자동 전송

샤이-훌루드를 만든 공격자는 개발자의 npm 계정 정보를 피싱 이메일이나 가짜 웹사이트를 통해 훔치고, 정상적인 코드 패키지에 ‘bundle.js’라는 악성 프로그램을 몰래 심어 새 버전으로 다시 배포했다.

이후 개발자가 감염된 패키지를 자신의 프로젝트에 설치하면, 설치 과정에서 악성 프로그램이 자동으로 실행된다. 이 프로그램은 컴퓨터 안에서 또 다른 코드 저장소인 깃허브(GitHub)나 클라우드 서비스인 아마존웹서비스(AWS), 구글 클라우드 등에 접속할 수 있는 비밀번호와 인증키 등 시크릿(secret)을 몰래 수집했다.

이렇게 훔친 정보는 두 가지 방법으로 빠져나갔다. 먼저 피해자의 깃허브 계정에 ‘Shai-Hulud’라는 공개 저장소를 만들어 훔친 시크릿 데이터를 제이슨(JSON) 파일 형태로 올린다. 깃허브 액션(GitHub Actions)은 개발자들이 코드 테스트나 배포 작업을 자동화할 수 있게 해주는 도구인데, 공격자는 이 기능을 악용해 ‘.github/workflows/shai-hulud-workflow.yml’이라는 악성 자동화 스크립트를 만든다. 이 스크립트는 저장소의 모든 시크릿 정보를 공격자의 서버로 자동 전송한다.

이후 가장 가장 위험한 특징이 발휘된다. 바로 바이러스처럼 스스로 퍼져나가는 능력이다. 샤이-훌루드는 훔친 npm 계정 정보로 피해자가 관리하는 다른 코드 패키지들을 찾아내 동일한 악성 프로그램을 심고 자동으로 새 버전을 배포했다. 이에 대해 오픈소스 소프트웨어 보안 기업 소나타입은 “자기강화 과정을 통해 악성코드가 빠르고 광범위하게 확산돼 하나의 감염된 패키지가 생태계 전반에 연쇄 반응을 일으킨다”고 설명했다.

리버싱랩스도 보고서를 통해 “샤이-훌루드가 이미 700개 이상의 저장소에 영향을 미쳤을 것으로 추정된다”며 “피해자는 기술 스타트업부터 대학생 개발자, 보안 벤더까지 매우 다양하다”고 밝혔다.

실제 샤이-훌루드에 감염된 패키지에는 주간 200만 번 다운로드되는 인기 패키지 @ctrl/tinycolor와 보안 전문회사 크라우드스트라이크(CrowdStrike)의 npm 패키지들도 포함됐다. 이를 놓고 보안 커뮤니티는 “보안 전문 기업의 패키지까지 감염된 것은 대상을 가리지 않고 자동으로 확산되는 이번 공격의 위험 수준을 잘 보여준다”고 평가하고 있다.

샤이-훌루드는 맥(Mac)과 리눅스 컴퓨터에서 작동하며, 트러플호그(TruffleHog) 같은 정상적인 보안 검사 도구까지 다운로드해 컴퓨터 전체에 숨어있는 시크릿 정보를 추가로 찾아내는 것으로 확인됐다. 또한 피해자의 비공개 코드 저장소를 공개 상태로 바꾸거나 복사본을 만들어 소스코드까지 훔치려고 시도한 것으로 파악됐다.

npm과 깃허브는 발견된 악성 패키지 버전을 제거하고 감염된 계정을 잠갔지만, 웜의 특성상 새로운 패키지가 계속 감염되는 상황이다. 보안 커뮤니티는 개발자들에게 의심스러운 저장소나 브랜치 이름에 ‘shai-hulud’가 포함됐는지 즉시 확인하고, 모든 인증 토큰을 교체할 것을 권고하고 있다.

핵심 문제는 ‘개발자 보안 인식 부족’

이러한 공격들이 성공하는 근본적인 이유는 개발자들의 보안 검증 절차 부재다. 대부분의 개발자들이 패키지 다운로드 수나 인기도만을 기준으로 신뢰성을 판단하고 있어, 악성 패키지로 대체되기만 하면 쉽게 확산이 가능해진다는 것이다.

소켓의 분석에 따르면, 악성 패키지들은 대부분 설치 시점에 즉시 실행되는 스크립트를 포함하고 있어 개발자가 인지하기도 전에 시스템 감염이 이뤄진다.

npm 생태계의 공급망 보안 위협은 단순히 개별 개발자의 문제를 넘어서 전 세계 소프트웨어 인프라의 안정성을 위협하는 수준에 이른 것으로 평가된다. 이에 보안 전문가들은 체계적인 패키지 검증과 보안 교육, 그리고 자동화된 모니터링 솔루션 도입이 시급하다고 진단하고 있다.

해킹 그룹 ‘샤이니헌터스’ 행보 주목

오픈소스 생태계의 취약점을 노리는 것을 넘어 공격자들은 대형 소프트웨어 개발사까지 먹잇감으로 삼고 있다. 해킹 그룹 ‘샤이니헌터스(ShinyHunters)’는 올해 연달아 기업 정보 유출 사고를 일으키며 가장 ‘핫한’ 범죄 집단으로 떠올랐다. 이들은 올해만 해도 시스코에 이어 구글까지 피해를 주는 데 성공했으며 그 외 아디다스, 알리안츠생명, 루이비통·디올·티파니 등 LVMH 그룹에 대한 침해도 샤이니헌터스의 소행인 것으로 확인됐다.

지난 8월 초 구글은 자사가 사용하는 클라우드 기반 고객관계관리(CRM) 소프트웨어인 세일즈포스(Salesforce)의 인스턴스 중 하나가 위협 그룹 UNC6040의 공격에 피해를 당했다고 인정했다. 지난 6월 초 구글은 UNC6040의 활동에 대한 내용을 자사 위협 인텔리전스 블로그에서 다룬 바 있는데, 8월 5일자로 이 같은 자사 침해 내용을 추가로 업데이트한 것이다.

유출된 정보는 중소기업 고객의 연락처와 관련 메모로, 기업명과 연락처 등을 포함하지만 구글은 “기본적이고 대부분 공개된 비즈니스 정보”라고 해명했다. 다만 그러면서도 정확한 피해 규모는 공개하지 않았으며, 몸값 요구가 있었는지도 명확히 알리지 않았다.

보이스피싱으로 세일즈포스 접근 권한 획득, 고객 데이터 대량 탈취

구글 위협 인텔리전스 그룹은 UNC6040이 협박 과정에서 자신들을 ‘샤이니헌터스’로 칭한다고 밝혔다. 분석 내용을 살펴보면 이들의 공격 방식은 얼핏 단순한 수준에서 시작하는 것 같지만, 사실은 매우 효과적이고 고도화된 것으로 보인다.

공격자들은 기업의 IT 담당 직원인 척 전화를 걸어 지사 소속 직원들을 속이는 보이스피싱으로 작업을 시작했다. 그리고 세일즈포스의 정식 도구인 ‘데이터 로더(Data Loader)’를 위장한 악성 소프트웨어를 설치하도록 하고, 피해자가 8자리 연결 코드를 직접 입력하게 유도하며 세일즈포스 환경에 광범위한 접근 권한을 획득해 고객 데이터를 대량 탈취했다. 일부 사례에서는 IT 관련 요청(Ticket)들을 처리하는 ‘마이 티켓 포털(My Ticket Portal)’ 등의 이름으로 위장한 앱을 사용해 신뢰성을 높이기도 했다.

앞서 7월 말에는 시스코도 비슷한 과정을 통해 자사 고객 정보가 유출됐다고 발표했다. 시스코 역시 구글과 마찬가지로 공격자가 IT 담당자를 사칭, 직원 대상의 보이스피싱을 통해 세일즈포스 시스템에 무단 접근한 것으로 확인됐다. 이를 통해 고객 이름, 조직명, 주소, 이메일 주소, 전화번호 등 계정 관련 메타데이터가 탈취된 것으로 파악됐다.

항공사 에어프랑스-KLM 그룹도 샤이니헌터스의 피해자로 추가됐다. 지난 6일(현지시각) 에어프랑스-KLM은 고객 서비스 플랫폼에 문의한 승객들의 이름, 이메일 주소, 전화번호, 최근 거래, 마일리지 프로그램 관련 정보 등이 유출됐다고 발표했다. 마찬가지로 세일즈포스 인스턴스를 통해 공격에 성공한 것으로 확인됐다.

수년간 다양한 분야 기업 노리고 연쇄 공격 중

샤이니헌터스의 피해 범위는 최근 알려진 구글과 시스코, 에어프랑스-KLM 그룹에만 그치지 않는다. 미국의 보안 전문 매체인 블리핑컴퓨터에 따르면 최근 몇 달간 있었던 아디다스, 콴타스항공, 알리안츠생명, LVMH 계열사인 루이비통·디올·티파니 등에 대한 연쇄 공격이 모두 샤이니헌터스의 소행인 것으로 추정되고 있다.

샤이니헌터스는 이미 2020년 마이크로소프트 산하 ‘깃허브(GitHub)’에 대한 계정 공격과 2021년 AT&T 고객 데이터 해킹 사건으로 주목받은 바 있으며, 이후 2024년에는 스노우플레이크 데이터 탈취 공격을 통해 미국의 초대형 콘서트·스포츠·공연 티켓 판매회사인 티켓마스터를 피해자로 추가했다. 이들은 티켓마스터로부터 5억 6천만 명의 개인정보를 탈취하고 50만 달러에 판매한다고 홍보했다. 같은해 스페인 산탄데르은행에 대해서도 스노우플레이크를 통해 3천만 건의 고객 정보를 탈취, 협박을 이어갔다.

그외에도 샤이니헌터스는 지난 몇 년간 다양한 분야에서 피해자들을 만들었다. 대표적으로 미국 교육 기술 기업인 파워스쿨(PowerSchool), 데이터베이스 및 클라우드 서비스 기업인 오라클 클라우드, PDF 편집 및 뷰어 프로그램을 제공하는 니트로PDF, 영미권 인터넷 소설 아카이브인 왓패드(wattpad), 수학 문제 앱 기업 매스웨이(Mathway) 등이 있다.

샤이니헌터스는 해킹 데이터를 다크웹을 통해 최대 10만 달러에 판매한 후, 더 이상 수익성이 없다고 판단되면 업계 내 명성을 위해 데이터를 공개해 버리는 전략을 사용하고 있다. 실제 이들은 최근 18개 기업에서 탈취한 3억 8,600만 건 규모의 사용자 데이터를 해킹 포럼에서 무료로 배포했다. 여기에는 이름, 이메일, 전화번호, 생년월일, 주소 등 정보가 포함돼 피해 개인을 상대로 한 피싱, 스팸, 신원도용 등 추가 사이버 범죄가 우려되는 상황이다.

한 국내 보안 기업의 연구소장은 “샤이니헌터스는 작년 스노우플레이크를 사용하는 기업을 노렸고, 올해는 세일즈포스 이용 기업들을 노리고 있다. 특히 기술적 취약점을 노린 것이 아니라, 사회공학적 기법을 사용해 정상적 인증 절차를 우회한다는 점이 특징적인데, 영미권 위주라 아직은 국내에 유사 피해가 없어 다행스럽다”면서 “다만 스노우플레이크나 세일즈포스 솔루션을 사용하는 국내 기업들이 또 다른 사회공학적 방식으로 피싱에 당해 피해를 받지 않도록 데이터 접근 권한을 관리하고, 신뢰할 수 없는 IP는 차단하며, 추가적 MFA를 의무로 적용하는 등 선제 조치를 취할 필요가 있다”고 말했다.

글로벌 보안기업들마저 당한 ‘드리프트’ 공급망 공격

세일즈포스를 통한 공격은 계속해서 이어지고 있다. 8월 중순 글로벌 인사관리(HR) 소프트웨어 기업 워크데이(Workday)가 샤이니헌터스의 보이스피싱 수법을 통한 피해자 명단에 이름을 올렸다.

그리고 8월 말에는 새로운 세일즈포스 기반 공격이 확인됐다. 세일즈포스에 서드파티 애플리케이션을 제공하는 세일즈로프트(Salesloft)의 AI 기반 마케팅 플랫폼 ‘드리프트(Drift)’를 표적으로 한 소프트웨어 공급망 공격이 지스케일러(Zscaler)와 팔로알토네트웍스(Palo Alto Networks) 등 글로벌 사이버보안 전문기업들까지 피해를 입힌 것이다.

UNC6395로 추적되는 공격그룹은 지난 8월 8일부터 18일까지 10일간 드리프트 플랫폼에 침입해 오픈인증(OAuth) 토큰과 리프레시 토큰을 탈취하고, 이를 악용해 세일즈포스(Salesforce) API에 직접 접근한 뒤 다수 기업의 CRM 데이터를 체계적으로 추출했다.

공격자들은 단순한 고객정보 수집을 넘어 AWS 액세스 키, 스노우플레이크(Snowflake) 토큰, 비밀번호 등 추가 자격증명을 집중적으로 탐색했으며, 쿼리 로그를 삭제하는 등 반포렌식 기법을 동원해 추적을 어렵게 만들었다. 이는 2차 공격 가능성까지 내포하고 있어 피해의 연쇄 확산이 우려되고 있다.

지스케일러는 공격자들이 드리프트를 통해 세일즈포스 자격증명을 획득해 고객 이름, 이메일, 전화번호, 직함, 지역정보와 제품 라이선스 정보, 고객지원 티켓 내용 등에 접근했다고 밝혔다. 팔로알토네트웍스 역시 고객 연락처 정보, 내부 영업 계정 데이터 등이 유출됐다고 공식 인정하고 피해 고객들에게 개별 통지를 진행했다고 밝혔다.

해당 사건은 하나의 서드파티 앱 침해가 연쇄적으로 수천 개 기업의 데이터 유출로 이어지는 공급망 공격의 위험성을 적나라하게 보여준 대표 사례로 기록됐다. 특히 최고 수준의 보안기술을 보유한 글로벌 기업들마저 피해를 피할 수 없었다는 점에서 제3자 소프트웨어를 통한 보안 사고의 취약성을 여실히 보여줬다는 평가다.

공급망 보안 솔루션 도입 본격화

소프트웨어 공급망 공격이 급증하면서 일부 기업들은 전문 보안 솔루션 도입에 선제적으로 나서고 있다. 특히 오픈소스 취약점 관리와 실시간 모니터링 기능을 제공하는 솔루션들이 주목받고 있으며, SBOM 도입도 가속화되고 있다.

Socket.dev를 운영하는 소켓(Socket)은 현재 공급망 보안 솔루션 시장에서 가장 주목받는 기업 중 하나다. 회사는 npm, PyPI, 고(Go) 등 주요 패키지 저장소를 실시간으로 모니터링하며 악성 패키지를 사전에 탐지하는 서비스를 제공한다.

소켓의 페로스 아부카디제(Feross Aboukhadijeh) CEO는 “우리 플랫폼은 패키지 설치 전에 위험 요소를 분석해 개발자들에게 경고를 제공한다”며 “최근 6개월간 1만 5천 개 이상의 악성 패키지를 탐지했다”고 소개하고 있다.

특히 소켓은 행위 기반 분석(behavioral analysis) 기술을 활용해 패키지의 실제 동작을 분석한다. 단순히 알려진 취약점을 찾는 것이 아니라, 파일 시스템 접근, 네트워크 통신, 환경변수 수집 등 의심스러운 행위 패턴을 실시간으로 감지하는 방식이다.

실제 마이크로소프트(Microsoft)는 자사의 개발 환경에 소켓 솔루션을 통합했으며, 구글 역시 자체 공급망 보안 프레임워크에 유사한 기술을 적용하고 있다.

국내에서도 공급망 보안을 강화하기 위한 대기업들의 움직임이 활발하다. 한 대형 IT 기업의 보안 담당자는 “최근 사내 개발팀에서 사용하는 모든 오픈소스 패키지에 대한 자동화된 보안 검증 체계를 구축했다”며 “특히 CI/CD 파이프라인에 보안 검사 단계를 의무화했다”고 밝혔다.

SBOM 도입, 공급망 가시성 확보의 핵심

최근 기업 공급망 보안의 핵심 요소로 꼽히는 것 중 하나가 바로 소프트웨어 자재명세서(Software Bill of Materials; 이하 SBOM)의 도입이다. SBOM은 소프트웨어에 포함된 모든 구성 요소와 의존성을 문서화한 명세서로, 공급망 투명성을 확보하는 기본 도구다.

보안 컨설팅 업체 관계자는 “SBOM 없이는 우리가 사용하는 소프트웨어에 어떤 구성 요소가 들어있는지 알 수 없다”며 “특히 다층 의존성(nested dependencies) 환경에서는 SBOM이 필수”라고 강조했다.

미국 정부가 2021년 행정명령 14028호를 통해 연방정부 대상 소프트웨어 공급업체들에게 SBOM 제공을 요구한 이후, 민간 기업들도 자발적 도입에 나서고 있다. 국내에서도 금융권과 통신업계를 중심으로 SBOM 도입 논의가 활발해지고 있다.

전문적이고 자동화된 보안 관리 필요성 커질 것

최신 공급망 보안 솔루션들은 24시간 실시간 모니터링과 자동화된 대응 기능까지 제공한다. 소켓과 같은 최신 솔루션은 새로운 취약점이 발견되면 즉시 기업 개발팀에 알림을 보내고, 심각도에 따라 자동 차단하는 기능까지 제공한다.

한 국내 스타트업 CTO는 “소켓을 도입한 후 개발 속도 저하 없이 보안성을 크게 개선할 수 있었다”며 “특히 개발자들이 별도 학습 없이도 안전한 패키지를 선택할 수 있게 됐다”고 평가했다.

국내 공급망 보안 솔루션 기업 관계자는 “향후 몇 년간 공급망 보안 솔루션 시장은 더욱 성장할 것으로 기대한다. 기업들이 디지털 전환을 가속화하는 가운데, 빠른 애플리케이션 개발을 위해 오픈소스에 대한 의존성이 증가하고 있어 전문적이고 자동화된 보안 관리에 대한 필요성이 계속해서 커질 것으로 전망한다”고 덧붙였다.