트리비 공급망 공격에서 자가확산 CanisterWorm까지: npm 패키지 생태계가 직면한 새로운 위협

사건 개요 – Trivy 및 npm 패키지 감염

최근 개발자 커뮤니티에 심각한 보안 경보가 울렸다. 인기 오픈소스 취약점 스캐너인 Trivy를 대상으로 한 공급망 공격이 발생했으며, 이 공격은 이후 최소 47개의 npm 패키지가 악성코드에 감염되는 대규모 보안 사고로 번졌다.

공격자는 Trivy의 공급망을 침투해 추가 공격을 시도했으며, 이 과정에서 자가확산 웜인 CanisterWorm이 퍼지기 시작했다. 이 웜은 ICP(Internet Computer Protocol) 스마트컨트랙트인 ‘canister’를 악용해 감염 및 확산 경로를 구축한다는 점에서 기존 악성코드와는 전혀 다른 양상을 보인다.

CanisterWorm 분석: 특징과 감염 방식

CanisterWorm은 현재까지 드물게 보고된 새로운 유형의 웜 악성코드다. 이 웜의 주요 특성은 ICP canister를 활용해 감염과 전파를 꾀한다는 것이다.

ICP canister는 본래 분산형 애플리케이션을 호스팅하는 스마트컨트랙트 실행 환경이나, CanisterWorm은 이 구조의 코드 불변성 및 분산성 특성을 역이용하여 탐지와 차단을 한층 어렵게 만들었다. 즉, 공격 코드가 ICP 네트워크에 분산 저장돼 전통적인 보안 도구로는 추적이 쉽지 않다.

또, 자가 전파 능력을 갖춰 감염된 패키지를 설치한 개발자 환경에서 자동으로 추가적인 패키지와 시스템으로 빠르게 확산될 수 있어 그 위협 범위가 넓고 신속하게 커진다.

공급망 공격의 파장과 오픈소스 생태계 영향

이번 사건은 오픈소스 및 소프트웨어 공급망 리스크가 현실화된 대표적인 사례다. npm은 전 세계 개발자가 신뢰하는 핵심 패키지 저장소로, 이곳에 유포된 패키지의 신뢰성은 전체 소프트웨어 생태계의 안전과 직결된다.

특히 대상이 개발자 커뮤니티라 피해가 설치한 모든 서비스·애플리케이션으로 광범위하게 확산될 수 있다. 이는 단일 취약한 패키지를 발판 삼아 공격이 기하급수적으로 확장될 수 있음을 의미하며, 기업과 조직의 보안 체계를 근본적으로 위협한다.

Trivy와 같은 글로벌 개발자 도구가 표적으로 삼아졌다는 점은 공급망 공격의 파장이 단일 피해자에 그치지 않고, 전체 업계와 생태계로 연결될 수 있음을 보여준다.

전문가 분석: 공급망 리스크와 탐지의 어려움

보안 전문가들은 이번엔 웜이 스마트컨트랙트의 분산성 및 불변성을 악용하며 전통적 네트워크 기반 탐지·차단 기법으로는 대응이 어렵다고 지적한다. ICP canister는 코드 수정이 불가피할 만큼 불변성이 강해, 문제가 생기면 대응 시간이 길어진다.

공격자의 신원과 구체적 동기는 확인되지 않았으나, Trivy 사고와 npm 웜 확산 모두 동일세력의 소행으로 추정된다. 이러한 유형의 공격은 앞으로도 증가할 가능성이 높으며, 개발자 도구·오픈소스 생태계를 통한 공급망 공격이 새로운 주요 위협으로 부상하고 있다.

시사점 및 예방책

CanisterWorm 사건은 오픈소스 소프트웨어의 안전이 더 이상 당연시될 수 없음을 알리며, 개발자와 조직 모두 아래와 같은 적극적인 예방 노력이 필요함을 제시한다.

1. 의존성 패키지의 출처와 무결성을 상시 모니터링하고, 취약점 스캐닝 도구도 주기적으로 업데이트할 것
2. 공급망 보안 솔루션 도입으로 패키지 설치 전·후 무결성 점검 시스템을 구축할 것
3. 개발팀 내부 보안 인식을 강화하고, 의심스러운 패키지 사용에 경각심을 가질 것

공급망 보안은 개발 조직의 필수 요소가 되었으며, CanisterWorm과 같은 새로운 악성코드 등장은 오픈소스 생태계 전체에 지속적인 협력과 적극적인 방어 체계의 필요성을 다시 한번 일깨워준다.