‘Miasma’ 공급망 공격, Red Hat npm 패키지와 개발 환경 노렸다 – 자격증명 탈취 웜 발견

공격 개요: Miasma, 오픈소스 신뢰성 흔든 사건

2026년 6월, 글로벌 사이버 보안 업계를 충격에 빠뜨린 대형 공급망 공격 ‘Miasma’가 발견되었습니다. 이번 공격의 주요 타깃은 @redhat-cloud-services 관련 npm 패키지, 즉 Red Hat 계열 오픈소스 개발환경에서 널리 사용되는 소프트웨어 코드 관리 라이브러리였습니다. 전문 보안 연구팀은 이번 공격을 일명 ‘Mini Shai-Hulud’로도 부르며, 패키지 설치 과정에 치밀하게 악성코드를 숨긴 정황을 집중적으로 조사하고 있습니다.

공격의 구조와 전술

일상성 노린 악성코드, 자동 실행 메커니즘

Miasma 공격의 시작은 평범한 패키지 업데이트 과정에서 비롯되었습니다. 공격자는 npm 패키지의 설치 후 자동 실행(post-install) 스크립트에 악성코드를 삽입해, 개발자가 별도 경고 없이 최신 버전으로 업데이트만 해도 감염되는 구조를 만들었습니다. 이렇게 감염된 시스템은 별다른 의심 없이 공격자에게 주요 정보를 넘기게 됩니다.

자격 증명·비밀키 대량 탈취 노렸다

악성코드는 감염된 환경의 환경 변수, API 키, SSH 키 등 개발자 및 조직 내에서 활용되는 핵심 인증 정보를 수집하도록 설계됐습니다. 특히 CI/CD 파이프라인에서 활용되는 서비스 계정 정보와 같은 민감 데이터를 목표로 하여, 조직 내부와 배포 시스템까지 공격 영향이 미칠 수 있었습니다.

CI/CD 직접 침투 및 웜 형태로 확장

더 나아가, 탈취한 정보로 침투 범위를 넓혀 CI/CD 자동화 구축 단계까지 접근을 시도하며, 빌드 및 배포 과정에 추가 악성코드 주입까지 감행하려 했습니다. 또한 패키지에 웜(자기 전파형 악성코드) 기능까지 구현, 감염된 환경에서 더 많은 프로젝트 패키지로 악성코드를 번지게 하는까지 시도되었습니다.

암호화로 정보 유출, 탐지 어려움 극대화

수집된 데이터는 암호화된 방식으로 공격자의 서버에 전송돼, 일반 네트워크 관제 시스템 상에서 쉽게 탐지되지 않도록 정교하게 우회 설계되었습니다.

피해 범위와 오픈소스 공급망의 리스크

Red Hat과 연계된 수많은 오픈소스 개발 환경, 기업 및 조직이 이번 공격의 위험에 직접 노출될 수밖에 없었습니다. 실제로 Fedora, RHEL(Red Hat Enterprise Linux) 등 다수 엔터프라이즈 시스템에서 이 패키지를 신뢰하고 사용하는 상황이라, 한 번의 침해가 여러 시스템을 연쇄적으로 위험에 빠트릴 수 있습니다.

npm 패키지 등 오픈소스 생태계에 대한 맹목적 신뢰는 공급망 전체에 취약점을 확산시킬 수 있음을 이번 사고는 단적으로 보여줍니다. 특히 자동 실행 스크립트 구조는 개발자의 인지도 밖에서 악성코드 실행을 유발해 조직 전체, 더 나아가 최종 사용자까지 보안 위협에 노출시키는 핵심 문제로 지적됩니다.

대응책과 전문가 제언

• 자동 실행 스크립트 제한: npm 설정에서 기본적으로 자동 실행 차단, 꼭 필요할 때만 허용
• 패키지 출처·신뢰성 확인 강화: 설치 전 디지털 서명, 게시자 검증 등 절차 표준화 필요
• CI/CD 및 빌드 환경 철저 격리: 빌드 네트워크 권한 최소화, 외부 접속 원천 차단
• 실시간 모니터링 및 이상 탐지 체계 구축: 행위정보 모니터링으로 비정상 접근 신속 차단
• 취약점 정보 공유·알림 체계 구축: 업계간 신속하게 취약점과 위협정보 공유

NPM 보안팀과 Red Hat 역시 신속한 패치 배포와 함께, 의심되는 환경변수 및 API 키를 즉시 교체하고 패키지 최신버전 적용을 적극 권고했습니다.

시사점: 공급망 보안의 근본적 재점검 시급

이번 Miasma 공격은 오픈소스 생태계의 투명성과 신뢰라는 가치 이면에 늘 잠재하는 보안 위협을 다시 각인시킨 이벤트입니다. 개발자와 조직 모두 단순한 자동화 편의성이 때로는 치명적 보안 허점이 될 수 있음을 명심하고, 체계적인 방어 전략 수립 및 보안 문화가 필수임을 보여준 사건이라 할 수 있습니다.