글로벌 사이버 보안 기업 카스퍼스키는 지난해 말까지 오픈소스 프로젝트에서 악성 패키지 1만4000여개를 발견했다고 17일 밝혔다. 전년 대비 50% 증가했다.
오픈소스는 누구나 소스 코드를 검사, 수정, 개선할 수 있는 소프트웨어다. 널리 사용되는 오픈소스 패키지(GoMod, Maven, NuGet, npm, PyPI)는 수많은 애플리케이션의 기반이 되는 도구다. 공격자들은 인기 있는 패키지들의 인기를 악용하고 있는 것으로 나타났다.
지난 3월 라자루스 그룹이 여러 개의 악성 오픈소스 패키지를 배포한 사실이 확인됐다. 해당 패키지에는 자격 증명, 암호화폐 지갑을 탈취하고 백도어를 배포하는 악성코드가 포함됐다.
드미트리 갈로프 카스퍼스키의 글로벌연구분석팀의 리서치 센터장은 “오픈소스 소프트웨어는 현대 기술 솔루션의 근간이지만, 그 개방성이 이제는 무기로 사용되고 있다”며 “공격자들이 인기 있는 패키지에 정교한 백도어 및 정보 탈취 도구를 적극 삽입하고 있다”고 말했다. 그러면서 “기업들은 공격이 성공하기 전에 공급망 보안을 확보해야 한다”라고 덧붙였다.
이효은 카스퍼스키 한국지사장은 “한국의 핀테크, 스마트 제조, 사물인터넷(IoT) 산업이 오픈소스 기술에 크게 의존하고 있는 현실을 고려할 때 이런 위협에 더 취약하다”며 “기업들은 개발부터 배포까지 실시간 코드 스캐닝과 엔드 투 엔드 검증을 포함한 선제적 방어 시스템을 구축해야 한다”고 했다.