전체메뉴

[애플경제 이보영 기자] 오픈소스가 대중화되면서 이를 악용한 오픈소스 맬웨어도 비슷한 속도로 빠르게 확산되고 있다. 해커들은 오픈소스 특유의 취약점과 폭발적인 대중화를 틈타 맬웨어를 배포하고 확장하느라 혈안이 되고 있다는 우려다.

이는 글로벌 통계에서도 드러나고 있다. 소프트웨어 공급망 관리 회사인 ‘소나타입’의 조사에 따르면 작년 한 해 동안 오픈소스 저장소의 악성 패키지가 2배 가깝게 급증한 것으로 드러났다. ‘소나타입’은 “2019년부터 추적해본 결과, 80만개 가까운 악성 오픈소스 패키지를 발견했다”며 “특히 최근 한 달 동안 7만개가 증가했다”고 밝혔다.

오픈소스 맬웨어는 흔히 합법적인 오픈소스 소프트웨어(OSS)로 위장, 소프트웨어 공급망에 침투하는 악성 패키지다. 오픈소스 맬웨어는 해커들이 악의적인 목적으로 오픈소스 저장소에 의도적으로 삽입하고, 특정 개발자를 겨냥해 맬웨어 탐지 도구를 회피한다. 특히 이는 종속성 관리 툴링과, 개발 빌드 파이프라인의 격차를 악용한다는 보안 전문가들의 우려다. 기존 보안 메커니즘을 우회, 소프트웨어 개발자를 직접 공격한다.

특히 눈길을 끄는 것은 npm(노드 패키지 매니저/Node Package Manager)이 악성 오픈소스 패키지의 대부분을 차지한다는 점이다. npm은 자바스크립트 프로그래밍 언어를 위한 패키지 관리자다. npm과 파이썬 패키지 저장소인 PyPI와 같은 SW저장소는 매년 수조(兆) 건의 오픈소스 패키지 요청을 처리한다. 이는 민첩한 개발과 혁신을 촉진하는 것을 목표로 오픈소스 제공 속도를 보장하도록 설계된 게시 모델을 특징으로 한다.

그러나 오픈소스 모델의 의도치 않은 작동으로 인해, 해커가 악성 패키지를 플랫폼에 몰래 삽입하기가 훨씬 더 쉬워진다는 지적이다. 이에 특히 “세계 최대의 자바스크립트 패키지 레지스트리인 npm이 악성 패키지의 유행에 큰 영향을 끼치고 있다”고 언급했다.

npm에선 오픈소스 맬웨어를 게시하기 쉽다는 지적도 있다. 그로 인해 개발자들은 흔히 검증을 소홀히 한채 패키지를 게시할 수 있다. 결국 악성 맬웨어 패키지가 대규모로 빠르게 업로드되는 상황을 초래할 수 있다. 실제로 npm이 최근 몇 년 동안 맬웨어 스팸 패키지의 급증 현상의 한 가운데 있었다.

이들 맬웨어 스팸의 상당 부분은 ‘Tea.xyz’와 같은 프로토콜을 이용, 대량의 다운로드를 통해 돈을 벌고 있다. 이런 스팸은 더 사악한 목적을 위해 프로젝트에 맬웨어를 내장하기도 한다. 그러나 금년 들어서만 npm 플랫폼에 대한 선호와 수요가 4조 건이 넘는 것으로 알려졌다. 이런 엄청난 수요는 해커들이 기승을 떠는 유력한 원인이 되기도 한다. npm은 다른 어떤 오픈 소스 저장소보다 사이버 범죄자들의 주목을 끌고 있는 셈이다.

이처럼 npm이 해커들의 가장 인기있는 해킹 도구가 되는 현상을 어떻게 하면 막을 수 있을까. 이에 대해 국내 보안업체 시큐레이어의 한 관계자는 “npm은 엄청 많은 사용자들에게 생활화되어있다”면서 “그럴수록 검증 프로세스를 충실히 함으로써 악의적인 행위자가 손상된 패키지를 쉽게 도입하지 못하도록 해야 한다”고 강조했다.