북한 해커, npm·PyPI·Go·Rust·PHP 등 전 세계 개발자 커뮤니티 겨냥해 1,700개 악성 패키지 유포

오픈소스 생태계를 겨냥한 새로운 공급망 공격

오픈소스 소프트웨어의 활용이 늘어나며 개발자 커뮤니티의 의존도가 높아지고 있습니다. 하지만 이러한 개방성은 새로운 보안 위협의 통로가 되기도 합니다. 최근 북한과 연계된 해커 조직 Contagious Interview가 npm, PyPI, Go, Rust, PHP 등 주요 패키지 저장소에 약 1,700개의 악성 패키지를 유포한 사실이 밝혀지면서 소프트웨어 공급망의 보안에 적신호가 켜졌습니다.

‘Contagious Interview’ 조직과 글로벌 캠페인 동향

Contagious Interview는 기술 직군 구인 면접을 위장한 사회공학 공격으로 유명한 북한 배후 해커 조직입니다. 기존에는 특정 타입의 개발자나 환경을 노렸지만, 이번에는 사상 최대 규모로 악성 패키지를 다수의 오픈소스 생태계에 자동화해 삽입했습니다. 보안 업계는 이들이 패키지 이름, 설명, 구조 등을 정상 프로젝트와 거의 동일하게 구성해, 개발자들이 쉽게 의심하지 못하도록 한 점에 주목하고 있습니다.

1,700개 악성 패키지의 유포 방식과 특징

1. 정상 패키지 위장 및 자동 대량 배포

공격자들은 ‘모조 패키지(타이포스쿼팅)’ 전략을 통해 널리 사용되는 정상 도구의 이름, 설명을 교묘히 모방해 악성 패키지를 등록했습니다. 자동화 도구를 활용해 단기간에 수많은 저장소에 연달아 배포한 점이 특징입니다.

2. 은밀한 실행 구조와 감염 방식

이들 악성 패키지는 주로 설치 단계에서 조용히 추가 악성코드를 다운로드, 실행시켜 개발자의 의심을 최소화합니다. 자격 증명을 노리는 정보 탈취형 기능, 백도어 설치, 장기적인 내부 네트워크 침투 등 피해가 우려됩니다.

공격 대상의 다양화: npm, PyPI, Go, Rust, PHP 등

이번 공격은 자바스크립트(npm), 파이썬(PyPI) 등 기존 표적 외에도, Go와 Rust, PHP 생태계까지 대상으로 확장되었습니다. 다양한 언어와 프레임워크를 쓰는 글로벌 개발자들 전체가 잠재적 피해자가 된 셈입니다. 이는 한 생태계의 취약점만이 아니라 오픈소스 전체 공급망의 구조적 문제를 드러냅니다.

예상 피해와 보안 시사점

• 자격 증명, API 키 유출 우려
• 백도어를 통한 조직 내부 확장 가능성
• 배포된 소프트웨어 오염 및 최종 사용자까지 피해 확산
• 지속적 감시와 정보 유출 등 다양한 침해 시나리오가 예상됩니다.

공급망 보안 대응 전략

패키지 검증과 개발 환경 보안 강화

패키지 설치 전 개발자는 반드시 관리자 정보, 다운로드 수, 최근 업데이트 내역을 검토하고 의문점이 있는 패키지는 설치를 재고해야 합니다. 보안 스캐닝 솔루션(Snyk, Sonatype, GitHub Security 등)의 도입과, 개발/운영(프로덕션) 환경의 격리가 필수입니다.

모니터링 및 교육 강화

조직 내에서 사용하는 주요 패키지에 대한 모니터링 체계와 실시간 알림 구축, 그리고 개발자 대상의 사회공학·보안 교육이 병행되어야만 위협 초기 탐지 및 확산 차단이 가능합니다.

결론: 오픈소스 공급망 보안, 모두의 과제

Contagious Interview 조직의 이번 공격은 오픈소스 공급망의 개방성을 악용한 대량 자동화 공격의 대표적 사례입니다. 커뮤니티와 보안 업계, 그리고 개별 개발자들은 상호협력 및 신속한 정보 공유를 통해 초기 대응 체계를 공고히 해야 합니다. 공급망 위협이 점차 더 빈번하고 정교하게 진화하는 만큼, 개발 과정 전반에 대한 포괄적 보안 전략의 수립이 반드시 요구됩니다.