하나가 뚫리면 전부가 무너진다 ‘공급망 보안’ [보안TMI]
||2026.01.18
IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 ‘보안TMI(Too Much Information)’ 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]
2025년 7월, 전 세계 자바스크립트 개발자들이 사용하는 npm(노드 패키지 매니저) 패키지 'is'가 해킹당했다. 주간 280만건 다운로드를 기록하던 이 유틸리티 라이브러리에 악성코드가 삽입되면서 수많은 하위 프로젝트가 동시에 감염됐다. 같은 달 프리랜서 개발 플랫폼 톱탈(Toptal)의 깃허브 조직 계정도 뚫렸다. 공격자는 73개의 비공개 저장소를 공개로 전환하고 10개의 악성 npm 패키지를 배포했는데, 이 패키지들은 정보 탈취를 넘어 시스템 전체를 삭제하려는 파괴 명령까지 담고 있었다. 보안 전문가들은 이러한 사건들이 소프트웨어 공급망 공격의 파괴력을 여실히 보여준다고 경고한다.
공급망 보안은 제품의 생산, 유통, 유지 과정 전반에서 발생할 수 있는 보안 위협으로부터 정보와 자산을 보호하는 방식이다. 여기에는 생산 및 물류 시설에 대한 물리적 접근 통제 같은 물리 보안과 네트워크·시스템·데이터를 사이버 위협으로부터 지키는 정보 보안이 모두 포함된다.
오늘날 소프트웨어 개발 환경에서 공급망 보안이 특히 주목받는 이유는 오픈소스 생태계의 구조적 특성 때문이다. npm, PyPI(파이썬 패키지 인덱스), 메이븐센트럴(Maven Central) 등과 같은 글로벌 패키지 저장소는 전 세계 수백만 개발자가 동시에 사용한다. 하나의 패키지가 수많은 프로젝트에서 재사용되는 구조이기 때문에 인기 패키지 하나만 변조돼도 수만 개 프로젝트로 피해가 확산될 수 있다.
과거 사이버 공격은 단일 기업이나 개별 시스템을 직접 겨냥하는 방식이 일반적이었다. 하지만 공격자들은 이제 소프트웨어 공급망의 한 지점만 침해해도 다수 조직에 동시다발적 피해를 입힐 수 있다는 점에 주목하고 있다.
악성 라이브러리를 정상 업데이트로 위장하거나 패키지 유지관리자 계정을 탈취해 신뢰 체계를 역이용하는 방식이 대표적이다. 공격 범위는 개발자 환경과 지속적 통합·배포(CI/CD) 파이프라인으로도 확대되고 있다. IDE, 패키지 매니저, 빌드 도구, 깃 클라이언트 등은 소프트웨어 공급망의 최상단에 위치한다. 이 환경이 침해되면 정상적인 빌드 과정에 악성 코드가 은밀히 삽입될 수 있으며 코드 리뷰와 테스트를 모두 통과한 정식 소프트웨어가 공격 매개체가 된다. 피해 조직은 침해 사실을 장기간 인지하지 못할 가능성이 높다.
국내 환경도 예외가 아니다. 보안 업계에서는 공공·금융기관에 납품되는 소프트웨어의 업데이트 서버가 핵심 공격 지점이 될 수 있다고 지적한다. 해당 서버가 해킹되면 단일 기관을 넘어 다수 기관으로 악성코드가 유포되는 연쇄 피해가 발생할 수 있다.
이러한 위험에 대응하기 위한 핵심 도구가 SBOM(Software Bill of Materials)이다. SBOM은 소프트웨어에 포함된 모든 구성 요소를 미리 문서화해, 특정 패키지에서 취약점이나 악성코드가 발견됐을 때 영향 범위를 즉시 파악하고 대응할 수 있게 한다. 구성 요소 목록이 없으면 확인 작업에 며칠이 걸릴 수 있고, 그 사이 피해가 확산될 수 있기 때문에 SBOM은 공급망 보안의 핵심 도구로 꼽힌다.
미국 정부는 2021년 행정명령을 통해 연방정부와 계약을 맺은 소프트웨어 개발·공급 기업에 SBOM 제출을 의무화했다. 우리 정부도 이를 참조해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 2024년 'SW 공급망 보안 가이드라인 1.0'을 발표하고, 공공기관 및 중요정보통신기반시설에 SBOM 생성·제출·관리 절차를 적용하도록 권고하고 있다.
보안 업계는 개별 시스템 보안이나 취약점 패치만으로는 충분하지 않다고 조언한다. 사용하는 모든 라이브러리, 서비스, 서비스형 소프트웨어(SaaS), 클라우드 인프라 전반에 대한 상시 검증 체계가 필요하다. 조직 차원에서는 SBOM 기반 구성 요소 추적, 코드 서명과 업데이트 검증 강화, 개발자 계정 보호, 통합·배포 파이프라인 보안 강화가 핵심 과제로 꼽힌다. 개발자 개인도 사용하는 패키지의 출처와 유지관리 상태를 확인하고, 의존성 목록을 정기적으로 점검해야 한다. 감염이 의심되는 패키지 사용 여부를 확인하는 습관이 공급망 공격의 피해를 줄이는 첫걸음이다.
홍주연 기자
jyhong@chosunbiz.com
