- GlassWorm 악성코드가 73개 OpenVSX 확장을 통해 재유포되며, 개발자 생태계에 심각한 공급망 위협을 초래
- ‘슬리퍼’ 기법으로 초기 설치 땐 정상 동작, 업데이트 단계에서 악성 코드로 변조돼 은밀하게 침투
- 공급망 보안 강화와 신뢰할 수 있는 확장만 신중하게 사용하는 것이 필수적, 자동 업데이트 관리 필요
오픈소스 생태계의 신뢰가 공격 경로가 될 수 있음을 다시금 증명한 사건, 공급망 보안의 실질적 강화가 시급하다.
1. GlassWorm 멀웨어: 개요 및 새로운 공격 방식
2024년 중순, 사이버보안 연구진은 악성코드 GlassWorm이 오픈소스 코드 편집기 확장 마켓플레이스 OpenVSX를 통해 대규모로 재확산되는 것을 발견했습니다. GlassWorm은 소프트웨어 공급망 공격에 악용되는 악성 프로그램으로, 이번 캠페인에서는 최소 73종의 OpenVSX 확장이 유포 경로로 쓰였습니다. 이들 익스텐션은 설치 초기에는 정상적이지만, 자동 또는 수동 업데이트 시 악성 코드로 변조되는 ‘슬리퍼’ 수법으로 작동합니다.
2. OpenVSX란? 오픈소스 공급망 위협의 이해
OpenVSX는 오픈소스 코드 편집기를 위한 확장 프로그램 시장으로 전 세계 개발자들이 널리 이용합니다. 이번 GlassWorm 사건은 신뢰받던 플랫폼마저 공격 벡터가 될 수 있음을 뚜렷하게 보여주었습니다. 공급망 공격은 개발·배포 과정에서 악성코드를 삽입해 많은 사용자에게 파급시키는 방식으로, 단 한 군데를 뚫어 대규모 피해를 유발하는 것이 특징입니다.
3. 슬리퍼 익스텐션 기법 분석
공격 진행 단계
‘슬리퍼’ 익스텐션 기법은 최초 설치 시 정상 동작으로 위장하여 사용자의 방심을 유도하고 업데이트 단계에서 악의적 동작을 시작하는 고도화된 공격법입니다. 주요 단계는 다음과 같습니다.
1단계: 초기 설치 — 사용자가 OpenVSX에서 확장을 설치하면, 초기에 실행되는 코드는 악성 기능이 없는 정상 코드입니다. 이는 보안 솔루션의 검증을 피하기 위한 전략입니다.
2단계: 업데이트 트리거 — 익스텐션이 자동 또는 수동으로 업데이트되면, 공격자 서버로부터 악성 페이로드가 다운로드됩니다.
3단계: 악성코드 실행 — 업데이트된 코드가 실행되며, 시스템 정보 탈취, 백도어 설치, 추가 악성코드 배포 등 각종 공격이 이루어질 수 있습니다.
이 방식은 기존 보안 솔루션의 탐지를 우회하면서, 사용자가 이미 신뢰하고 있을 때 공격을 실행한다는 점에서 특별히 교묘합니다.
4. 피해 규모와 대상
최소 73개의 OpenVSX 익스텐션이 GlassWorm 캠페인에 활용된 것으로 조사되었습니다. 이 익스텐션들은 다양한 개발 도구와 유틸리티로 위장됐고, 전 세계의 개발자와 IT 환경을 공격 대상으로 삼았습니다. 정확한 피해 규모는 추산하기 어렵지만, OpenVSX 이용자와 확장 다운로드 횟수를 고려하면 수많은 개인과 조직이 잠재 위험에 노출됐을 것으로 보입니다. 개발 환경 특성상 내부 시스템과 클라우드 접근 권한이 있을 가능성이 커, 감염 시 파급력도 매우 큽니다.
5. GlassWorm과 기존 공급망 공격의 공통점
이번 GlassWorm OpenVSX 캠페인은 2020년 SolarWinds, 2021년 Codecov, npm·PyPI 악성 패키지 사건 등 종전 공급망 공격과 특징이 유사합니다. 모두 신뢰받는 개발자 플랫폼을 활용하고, 초기에는 정상 코드를 배포한 뒤 타이밍을 조절해 악성 코드를 심으며, 자동 업데이트 메커니즘을 악용해 탐지를 우회합니다. 이 세 요소가 모두 결합된 것이 이번 공격의 큰 위협입니다.
6. 보안 커뮤니티의 대응
보안 전문가들은 GlassWorm 캠페인을 즉시 OpenVSX 운영팀에 알리고 함께 대응에 나섰습니다. OpenVSX측은 악성 확장 삭제와 보안 검증 강화에 즉각 착수했으며, 미국 사이버보안청(CISA) 등은 공급망 공격 위험성을 재강조하고 전체 개발자 커뮤니티에 보안 인식 강화를 권고했습니다. 주요 보안 기업들도 GlassWorm 특성을 근거로 분석 규칙과 침해지표(IOC) 정보를 신속히 공유하고 있습니다.
7. 개발자·사용자를 위한 보안 수칙
이번 GlassWorm 공격으로부터 자신의 개발 환경을 보호하기 위해서는 다음과 같은 보안 지침을 실천하는 것이 중요합니다.
1. 자동 업데이트 관리: 익스텐션·플러그인의 자동 업데이트 기능을 끄고, 변경 내역을 먼저 확인하는 습관을 들이세요.
2. 출처 및 개발자 신뢰성 점검: 설치 전 개발자 프로필, 리뷰, 다운로드 횟수 등 신뢰성 정보를 꼭 살펴보세요. 의심되는 경우 설치하지 않는 것이 최선입니다.
3. 최소 권한 부여: 개발 도구 및 환경에 필요한 권한만 부여하고, 네트워크 접근 등 불필요한 권한은 제한하세요.
4. 보안 솔루션 최신화: 엔드포인트 보안 솔루션을 항상 최신 상태로 유지하고 네트워크·프로세스 이상 탐지에 신경 써야 합니다.
5. 설치 확장 정기 감사: 불필요한 확장·플러그인은 주기적으로 점검해 제거하십시오.
8. 시사점 및 향후 전망
GlassWorm의 OpenVSX 슬리퍼 확장 캠페인은 소프트웨어 공급망의 근본적 취약성과 오픈소스 생태계의 상시적 위협을 경고합니다. 개발 도구가 곧 공격 통로가 될 수 있다는 현실을 직시해야 하며, 앞으로 유사한 공격이 npm, PyPI, RubyGems 등 다양한 생태계에서 반복될 가능성이 높아졌습니다.
플랫폼 운영자들은 등록 및 업데이트 절차의 검증을 한층 엄격히 하고, 서명·무결성 검증 등 기법을 강화해야 할 때입니다. 개발자와 기업, 커뮤니티 모두 공급망 보안의 중요성을 재확인하며, 자동 보안 도구와 검증 프레임워크 도입이 가속화될 전망입니다. 모든 이해관계자가 경각심을 갖고 철저한 대비에 나서야 할 때입니다.
- 슬리퍼 기법을 통한 공급망 침투 확대 경고
- 신뢰 기반 생태계의 위협과 업계 공동 대응 촉구
- 개발자·사용자 보안 실천의 실제적 중요성 강조