체크막스, 지난해 악성 오픈소스 패키지 16만개 발견
체크막스는 지난 한 해 15만878개의 악성 패키지를 발견했다고 20일 밝혔다. 같은 해 보고된 CVE 취약점 개수 2만5천226개의 약 6배에 달한다. 체크막스코리아에 따르면 오픈소스가 소프트웨어 개발의 90% 이상을 차지할 정도로 대세가 되면서 이를 노린 공격도 거세지고 있는 상황이다. 자바스크립트 프로그래밍 언어를 위한 패키지 관리자인 npm에서는 지난해 월평균 70만건 이상의 소프트웨어 패키지가 배포됐다. 2017년 10만여건보다 7배 가까이 늘어난 수치다. 오픈소스소프트웨어(OSS)의 경우 무단 액세스 권한을 얻거나 중요한 데이터를 훔치기 위해 취약한 종속성을 악용하는 경우가 많으며 시스템을 손상시키기 위한 공격 벡터로 악용되기도 한다. OSS의 위험 허용 범위도 빠르게 변화하고 있다. 소프트웨어 공급망 보안은 초기 개발부터 최종 사용자에게 전달되는 소프트웨어 생성 및 배포의 전체 프로세스를 보호하는 데 중점을 두는데, 소프트웨어 공급망을 공격하는 경우나 공급망의 취약점을 노리는 사례가 늘고 있다. 2021년부터는 금융권을 노린 공격도 증가추세인 것으로 나타났다. 체크막스코리아는 2023년에만도 체크막스의 위협 탐지팀이 은행 산업에 대한 여러 표적 공격을 식별해 이를 해당 은행에 통보했다고 밝혔다. 체크막스의 박찬수 실장은 앞으로도 금융권에 대한 소프트웨어 공급망 공격 추세가 계속될 것이라고 예상했다. 그는 이러한 공급망 공격에 대비하기 위해서는 악성 패키지가 소프트웨어 개발 수명 주기 (SDLC) 에 유입되지 않도록 방지해야 하며, 이를 위해 엔터프라이즈 네트워크의 아티팩트 서버에 체크막스의 '체크막스 공급망 위협 지능형 API'를 적용할 것을 권장했다. 박찬수 실장은 "오픈소스를 활용한 소프트웨어 개발이 90%가량에 이르고, 월 평균 70만개 이상의 오픈소스 기반 패키지가 배포되면서, 소프트웨어 공급망 보안이 위협을 받고 있다”며 “소프트웨어 공급망 공격자와의 싸움은 갈수록 지능화할 것으로 보이며, 이 같은 공격에 대비해 보안에 대한 각별한 주의가 필요하다”고 말했다.