Trivy 공급망 공격: Aqua Security 공식 Docker·GitHub도 뚫렸다

1. 사건 개요 및 배경: Trivy 소프트웨어 공급망 공격의 전개

2024년, 글로벌 보안 기업 Aqua Security가 운영하는 Trivy 소프트웨어의 공급망이 해킹 공격을 당하는 사건이 발생했습니다. Trivy는 컨테이너 이미지 및 파일 시스템 보안 취약점을 스캔하는 무료 도구로, 전 세계적으로 널리 사용되는 오픈소스 프로젝트입니다.

공격의 배후로는 TeamPCP라는 해킹 그룹이 지목되고 있습니다. 이들은 Aqua Security의 관리 체계에 침투해 공식 배포 채널을 통해 악성 코드를 퍼뜨리는 데 성공했습니다. 단순한 서버 침입이 아니라, 소프트웨어 공급망의 신뢰 자체를 훼손한 심각한 보안 사건입니다.

2. 공격 방식 및 주요 피해: Docker 이미지 위조, GitHub 조직 계정 탈취

이번 공격의 핵심은 두 가지로 볼 수 있습니다. 첫째, 공격자는 공식 Docker 레포지토리에 악의적인 이미지를 삽입해 개발자들이 신뢰하는 채널을 통해 배포된 이미지를 다운로드하는 순간 개발 시스템을 감염시킬 수 있도록 했습니다.

둘째, Aqua Security의 GitHub 조직 계정 자체가 탈취당했습니다. 해커는 복수의 저장소에 접근해 코드를 조작했으며, 이로 인해 저장소를 복제하거나 받아 가는 모든 개발 환경과 시스템이 잠재적으로 위협받을 수 있습니다.

Trivy 사용자뿐만 아니라, Aqua Security의 다른 제품을 사용하는 고객까지 위협받게 된 이번 공격은 소프트웨어 개발 생태계 전체에 중요한 경각심을 불러일으켰습니다.

3. Aqua Security의 대응 현황 및 업계 반응

침해 사실이 밝혀진 직후 Aqua Security는 공식 성명을 내고 신속하게 대응에 나섰습니다. 악성 이미지는 즉시 삭제되었고, 침해된 GitHub 저장소도 복구 조치를 진행 중입니다. 외부 보안 전문가와 협력해 공격 범위와 영향을 면밀히 조사하고 있습니다.

업계에서는 이번 사건을 계기로 소프트웨어 공급망 전반의 보안 체계를 재점검하자는 논의가 활발히 이뤄지고 있습니다. 더 이상 네트워크 경계 중심 방어에 그치지 않고, 개발·배포 전 과정에 걸친 다층적 보안이 필수라는 점이 강조되고 있습니다.

4. 공급망 보안과 오픈소스 의존—현재와 과제

현대 소프트웨어 개발은 오픈소스에 크게 의존하고 있습니다. Trivy처럼 무료로 제공되는 보안 도구들은 개발 생산성을 높이지만, 공급망 공격의 대상이 되면 위험도 커집니다.

오픈소스 저장소는 개방성을 바탕으로 하기에 공격자가 악성 코드를 심을 경로가 될 수 있습니다. 개발자들이 공식 저장소=안정성으로 신뢰하지만, 이런 심리를 교묘히 악용한 공격은 쉽게 탐지되지 않아 위험이 증가합니다.

많은 조직이 소프트웨어 구성 요소의 출처 추적과 무결성 검증에 어려움을 겪고 있으며, 이것이 공급망 보안의 최대 과제 중 하나입니다.

5. 유사 사례 및 시사점: PyPI, npm 공급망 공격과 비교

Trivy 사건은 한정된 사례가 아닙니다. 2023년에도 PyPI, npm 등 유명 오픈소스 저장소에서 공급망 공격이 잇따랐습니다.

PyPI에서는 악성 패키지가 수천 차례 내려받기 됐고, npm에서도 유명 라이브러리 관리자의 계정이 탈취되어 악성 코드가 포함된 업데이트가 배포되는 일이 있었습니다. 이런 공격들은 개발 환경이나 서버에서 코드를 실행시켜 민감 데이터를 유출하거나 추가 악성 소프트웨어를 심는 것이 목적입니다.

Trivy 사건은 공급망 공격이 이제는 보안 솔루션 전문 기업까지 타깃으로 할 정도로 위험이 확장됐음을 보여주었습니다.

6. 전문가 조언 및 실질적 대응책

공급망 공격을 막기 위해 전문가들은 다음 실천 방안을 강조합니다.

첫째, 다운로드한 Docker 이미지의 무결성을 SHA256 해시값 등으로 검증하는 과정이 필수적입니다. 둘째, Cosign, Notary 등 도구로 이미지에 디지털 서명을 검증해 변조 여부를 확인해야 합니다.

셋째, 배포 전 단계에서 취약점 스캔을 습관화하고, 널리 쓰이는 의존성의 변경 이력도 정기적으로 검토해야 합니다. 개발팀 내에서 공급망 보안 교육과 취약 패키지 즉각 격리·업데이트 절차도 마련해야 합니다.

7. 결론: DevOps 환경의 신뢰성 구축 방안

Trivy 공급망 공격 사례는 DevOps 환경에서 공식 채널도 절대적으로 안전하지 않다는 현실을 보여주었습니다. Aqua Security 같은 전문 보안 기업조차도 대상이 될 수 있으며, 이는 모든 소프트웨어 이용자에게 중요한 경고가 됩니다.

앞으로 DevOps 파이프라인에서는 이미지 서명, 무결성 검증, SBOM(소프트웨어 명세서) 등 다층적 보안 방식을 빌드 전 단계부터 적용해야 합니다. 또한 개발 커뮤니티 전체가 공급망 위협에 더 민감하게 대응하고 신뢰할 수 있는 보안 체계를 함께 구축해나가야 합니다.

공급망 보안은 선택이 아니라 필수입니다. 이 사건을 계기로, 개발자와 기업 모두 자신의 소프트웨어 공급망을 재점검하고, 더욱 효과적인 보안 프로세스를 마련해야 할 때입니다.