- Checkmarx KICS 공식 도구가 공급망 공격을 받아 개발자 민감 정보 대량 유출 위험이 발생
- 공식 Docker 이미지와 VSCode 확장 프로그램에 악성 코드가 삽입되어 정상 배포 채널이 오용됨
- 조직은 서드파티 도구 검증, 해시값 확인, 정보 접근 최소화 등 공급망 보안 체계 강화 필요
“신뢰하는 개발 도구도 반드시 검증하고 관리하는 습관이 곧 조직 보안의 핵심입니다.”
Ⅰ. 공급망 공격 개요 및 사건 발생 배경
소프트웨어 보안 기업 Checkmarx의 인프라스트럭처 코드(IaC) 분석 도구인 KICS(Kubernetes Intelligence Consumption System)가 최근 공급망 공격의 피해를 입은 사실이 확인되었습니다. 보안 연구팀에 따르면, 공격자는 Checkmarx의 공식 Docker Hub 저장소에 배포된 Docker 이미지와 Visual Studio Code(VSCode), Open VSX 마켓플레이스에 등록된 확장 프로그램에 악성 코드를 삽입하는 방식의 공격을 실행했습니다.
이 사건은 2024년 6월 초에 발견되었으며, Docker Hub 저장소의 기존 태그(v2.1.20, alpine 변형 등)가 악성 이미지로 덮어쓰기 되고, 공식적이지 않은 v2.1.21 태그도 추가되었습니다. 동시에 VSCode 및 Open VSX 마켓플레이스에 등록된 확장 프로그램도 동일한 방식으로 감염되어, 다수의 개발자가 악성 코드를 무심코 다운로드하고 실행하는 상황이 발생했습니다.
Ⅱ. Checkmarx KICS 도구 감염 경로와 공격 수법
이번 공격의 본질은 신뢰받는 보안 분석 소프트웨어에 악성코드를 침투시킨 점에 있습니다. Checkmarx KICS는 Kubernetes 환경 등에서 인프라 코드를 자동 분석해 보안 취약점을 탐지하는 대표 도구로, 국내외 많은 개발자와 보안팀이 활용 중입니다.
공격자는 다음과 같은 다단계 감염 전략을 구사했습니다.
- Docker 이미지 조작: 공식 저장소의 기존 태그를 덮어쓰기해 악성 이미지를 공식 채널로 배포
- 확장 프로그램 감염: VSCode 및 Open VSX 마켓플레이스에 등록된 KICS 확장 프로그램에 악성 코드 삽입
- 버전 위장: 비공식 v2.1.21 태그 추가로 정상 버전과 혼용될 환경 조성
이렇듯 공격자는 정상적인 소프트웨어 배포 채널을 역으로 이용해, 오히려 보안 도구 자체가 악성 행위의 전달 경로가 되도록 만들었습니다. 이는 적법한 소프트웨어 배포를 신뢰하는 개발자 습관을 악용한 대표적인 공급망 공격 유형입니다.
Ⅲ. 개발자 환경에서 발생할 수 있는 피해 유형
감염된 KICS 도구를 실행할 경우, 개발자 환경에서는 다음과 같은 민감정보 유출 피해가 발생할 수 있습니다.
- 자격증명 유출: AWS, GCP, Azure 등 클라우드 서비스 API 키와 액세스 토큰 탈취
- 환경 변수 탈취: 데이터베이스 정보, 시크릿 키, 내부 API 엔드포인트 노출
- 설정 파일 노출: 프로젝트별 커스텀 설정 및 민감한 구성 정보 유출
- 소스 코드 유출: 분석 중 접근 가능한 소스 코드 및 인프라 설정 자료 탈취
KICS가 인프라 코드를 분석하며 프로젝트 전체 구성 정보를 취급하는 만큼, 한 번 감염만으로도 기업의 인프라 접근 권한과 주요 자산 유출에까지 이르는 중대한 피해가 발생할 수 있습니다. 대규모 정보 유출은 기업의 지적재산뿐 아니라 고객 데이터의 안전까지 심각히 위협합니다.
Ⅳ. 대응 및 예방 조치: 공급망 신뢰성 확보 방안
Checkmarx는 공식 보안 권고를 통해 사건 사실을 알리고, 사용자의 즉각적인 대응을 요청했습니다. 주요 대응책은 다음과 같습니다.
- 즉각적 환경 점검: 사용 중인 KICS 버전 확인 및 감염 지표(IOC) 대조
- 안전 버전으로 업데이트: 공식 발표된 최신 안전 버전으로 시급히 마이그레이션
- 자격증명 순환: 모든 API 키, 비밀번호 등 민감 정보 변경
- 네트워크 모니터링 강화: 비정상적 외부 연결·데이터 전송 탐지 체계 확립
아울러 향후 재발 방지를 위해 조직 차원에서 다음과 같은 공급망 보안 관리 체계 구축이 필수적입니다.
- 서드파티 도구 및 의존성 소프트웨어 도입 전 엄격한 보안 검증 절차 시행
- 공식 저장소 이미지 사용 시 해시값, 서명 등 무결성 검증 의무화
- 의존성 도구에 대한 보안 모니터링 및 자동 업데이트 관리 지속
- 최소 권한 원칙 적용으로 민감 정보 접근 범위 최소화
Ⅴ. 전문가 인사이트와 업계 시사점
이번 Checkmarx KICS 공급망 공격은 소프트웨어 보안 생태계의 근본적 취약점을 다시 한 번 보여줍니다. 특히, 신뢰도가 높아야 하는 보안 분석 도구까지 공격자가 악용할 수 있다는 점은, 어떤 도구라도 반드시 지속적인 검증과 관리가 필요하다는 실질적인 교훈을 남깁니다.
보안 전문가는 최근 공급망 공격이 폭증하고 특히 개발자 도구와 CI/CD 파이프라인이 주요 공격 대상이 되고 있다고 경고합니다. 과거 SolarWinds 사고 이후 소프트웨어 공급망의 보안 중요성이 업계 전체의 숙제가 됐지만, 이번 사례는 아직 충분한 방어적 조치가 미흡함을 드러냅니다.
앞으로는 ‘의심하고 검증하는 보안 문화’가 소프트웨어 공급망 전반에 확립되어야 하며, 개발자·보안팀·DevOps팀이 협력해 위험을 조기에 탐지하고 신속하게 대응하는 통합 보안 체계가 필수적 과제로 떠오르고 있습니다.
- 공급망 보안 위협에 대한 경각심과 체계적 관리 필요성 강조
- 신뢰받던 공식 개발 도구조차 주기적 검증 절차 필수화
- 통합적 보안 문화와 팀 협업의 중요성이 강조됨