Arch Linux AUR 400개 패키지 해킹 사건이 보여준 오픈소스 공급망의 신뢰 사각지대

2026년 6월 12일, 보안 매체 The Hacker News는 Arch Linux의 비공식 사용자 저장소인 AUR(Arch User Repository)에서 400개 이상의 패키지가 탈취되어 인포스틸러와 eBPF 루트킷이 배포된 대규모 공급망 공격(Supply Chain Attack) 사건을 보도했다. AUR은 Arch Linux 공식 패키지 저장소인 extra, core, multilib 외부의 커뮤니티 운영 저장소로, 누구나 패키지 빌드 스크립트인 PKGBUILD를 제출하고 수정할 수 있다는 점에서 공급망 공격의 핵심 경로로 부상한 것으로 평가된다. 본문에서는 이번 침투 사건의 기술적 흐름과 함께 비공식 빌드 채널이 갖는 구조적 리스크를 함께 살펴본다.

공격 개요 AUR 400개 패키지를 무력화한 공급망 침투

이번 사건은 AUR에 등록된 400개 이상의 패키지가 빌드 스크립트 단계에서 변조된 것으로 조사되었다. 공격자는 메인테이너 계정 또는 빌드 파이프라인을 침투해 PKGBUILD 내부의 설치 단계에 악성 페이로드를 삽입했고, 결과적으로 사용자가 yay, paru 같은 AUR 헬퍼로 패키지를 빌드하는 순간 Rust 기반 인포스틸러가 시스템에 자동 설치되도록 구성되었다. AUR은 Arch Linux 프로젝트의 공식 패키지 저장소가 아니며 공식적인 보안 검증 절차가 부재하기 때문에, 단일 침투 지점이 다수 사용자의 빌드 머신으로 피해가 확산될 수 있는 구조가 만들어진 것으로 분석된다.

항목	내용
보도 일자	2026년 6월 12일
피해 범위	AUR 패키지 400개 이상
1차 페이로드	Rust로 작성된 인포스틸러(credential stealer)
2차 페이로드	eBPF 기반 루트킷(eBPF rootkit)
침투 경로	PKGBUILD 변조를 통한 빌드 단계 악용
표적 저장소 성격	Arch Linux 비공식 커뮤니티 저장소

공격 기법 분석 Rust 인포스틸러와 eBPF 루트킷의 결합

빌드 스크립트 변조를 통한 1차 침투 경로

1차 침투의 핵심은 PKGBUILD의 package() 함수 구간에 악성 명령을 삽입한 것으로 파악된다. PKGBUILD는 AUR 패키지의 빌드 절차를 정의하는 셸 스크립트로, 사용자가 로컬에서 makepkg를 실행할 때마다 그대로 실행되는 특성이 있다. 공격자는 이 구간에 원격에서 Rust로 작성된 바이너리를 내려받아 실행하는 단계를 추가한 것으로 조사됐으며, 인포스틸러는 빌드 머신의 사용자 권한 안에서 SSH 키, 브라우저 쿠키, GPG 비밀키, GitHub PAT(Personal Access Token) 등을 수집해 외부 C2(Command and Control) 서버로 전송하는 흐름으로 분석된다.

루트 권한 탈취 후 eBPF 모듈을 통한 은폐 기법

단순 자격증명 수집에 그치지 않고, 페이로드는 sudo 권한이 확인되는 환경에서는 커널에 eBPF(extended Berkeley Packet Filter) 프로그램을 후킹해 자신을 은폐하는 단계까지 수행한 것으로 보고되었다. eBPF는 리눅스 커널 내에서 샌드박스 형태로 코드를 실행할 수 있는 메커니즘으로, 정상적인 시스템 콜 추적, 네트워크 관측 도구에서도 사용되지만 그만큼 커널 내부 가시성을 가진다는 점에서 악용 시 파일, 프로세스, 네트워크 연결을 효과적으로 숨길 수 있다. 결과적으로 사용자가 ps, ls, netstat 같은 일반적인 점검 도구만으로는 멀웨어의 존재를 인지하기 어려운 상황으로 판단된다.

왜 AUR이 표적이 되었는가 비공식 저장소의 구조적 취약점

커뮤니티 패키지의 신뢰 경계 문제

AUR은 누구나 패키지를 제안하고 누구나 투표로 메인테이너 자격을 받을 수 있는 개방형 구조이기 때문에, 공식 저장소에서 보장하는 수준의 패치 리뷰, 서명 검증, 재현 빌드(reproducible build) 정책이 일관되게 적용되지 않는 것으로 알려져 있다. 메인테이너 한 사람의 신원이 침투되면 그가 관리하는 모든 패키지가 동시에 오염되는 이른바 single point of failure 구조가 자연스럽게 성립하며, 이번 400개 이상 동시 변조는 그 특성이 그대로 현실화된 사례로 해석된다. AUR의 개방성은 사용자 편의 측면에서는 강점이지만 공급망 보안 측면에서는 약점으로 작용할 수 있는 것으로 평가된다.

메인테이너 계정 탈취가 만드는 다운스트림 피해

침투된 메인테이너 계정이 다수 패키지를 동시에 관리하고 있었다는 점은 피해의 확산 반경을 크게 키웠다. Arch Linux 사용자뿐 아니라, AUR 패키지를 가공해 자체 배포본을 만드는 파생 배포 운영자, CI(Continuous Integration) 환경에서 AUR 빌드를 자동화하는 조직 역시 동일 변조본을 소비했을 가능성이 높다. 또한 일부 메인테이너는 AUR 계정과 동일한 비밀번호를 GitHub, 사내 SSO, 클라우드 콘솔에 재사용하는 경향이 있어, 단순한 AUR 계정 탈취가 2차, 3차 침투의 입구로 이어질 수 있는 것으로 분석된다.

실제 피해 시나리오와 2차 확산 위험

유출 자격증명의 개발자 비밀값 유출 경로

Rust 인포스틸러가 수집 대상으로 삼는 정보는 단순한 웹 로그인 정보에 한정되지 않는다. ~/.ssh, ~/.gnupg, ~/.config/git, ~/.aws, ~/.kube, ~/.docker 같은 디렉터리에 저장된 자격증명이 광범위하게 수집될 수 있으며, GitHub PAT가 유출될 경우 해당 개발자가 관리하는 사설 저장소와 패키지 레지스트리까지 접근 거점이 확대될 수 있다. 빌드 머신이 본래 CI, 코드 서명, 배포 자동화 같은 고권한 작업을 수행하는 환경인 점을 고려하면, 자격증명의 2차 가치는 1차 피해보다 더 클 수 있는 것으로 보인다.

빌드 머신 침투가 만드는 다운스트림 배포 오염

조직의 빌드 머신이 AUR 패키지를 의존성으로 끌어와 사용하고 있다면, 최종 산출물인 컨테이너 이미지, 설치 ISO, 사내 배포본에 인포스틸러와 eBPF 루트킷이 그대로 임베드될 가능성이 존재한다. 특히 빌드 단계에서 멀웨어가 활성화된 상태로 산출물이 생성되면, 후속 정적 분석에서는 정상 패키지와 구분하기 어려운 특성이 있다. 이처럼 단일 저장소에서 시작된 침투가 다수의 다운스트림 채널로 동시에 퍼지는 구조는 2024년 xz-utils 백도어 사건에서 이미 경고된 패턴과 유사한 흐름을 보인다는 점에서 업계의 관심이 집중되고 있다.

즉각 대응 및 완화 권고사항

단기 점검 패키지 변조 여부 확인과 키 무효화

• 2026년 6월 12일 이전 30일간 AUR에서 빌드한 패키지 목록을 확보하고, 보도된 400개 이상 패키지 명단과 교차 검증한다.
• 해당 기간 동안 사용된 빌드 머신에서 SSH 키, GPG 키, GitHub PAT, 클라우드 액세스 키를 무효화하고 재발급한다.
• sudo 권한으로 동작한 빌드 환경은 eBPF 프로그램이 상주할 가능성을 고려해 클린 이미지로 재설치하는 것이 권고된다.
• 패키지 매니저 캐시 디렉터리와 사용자 홈 디렉터리를 함께 격리 분석하여 C2 통신 흔적을 식별한다.

중장기 공급망 보안 강화 방향

근본적인 완화책은 비공식 저장소를 완전히 배제하는 것이 아니라, 비공식 채널에 대한 검증과 격리 정책을 조직 차원에서 명문화하는 일이다. AUR 패키지를 사용할 때는 가능한 한 격리된 컨테이너나 일회용 VM에서만 빌드하도록 정책을 정하고, 사내 배포 파이프라인에는 인포스틸러 시그니처와 eBPF 후킹 행위를 탐지할 수 있는 런타임 센서를 배치하는 것이 권고된다. 또한 메인테이너 신원 정보, 패키지 변경 이력, 빌드 재현성을 외부에서 검증할 수 있는 투명성 도구를 적극적으로 활용할 필요가 있다. 본문은 종합적으로 이러한 단기와 중장기 조치가 결합되어야 비공식 저장소가 가진 구조적 리스크를 통제 가능한 수준으로 낮출 수 있는 것으로 분석된다.

참고 자료: The Hacker News 원문, Bleeping Computer 공급망 공격 분석