내 컴퓨터에 깔린 보안 프로그램이 오히려 해킹 통로가 됐다고요? 개발자도 당한 공급망 공격 쉽게 설명해드릴게요

📋 목차

1. 믿었던 보안 도구가 해킹 도구가 됐다고?
2. 도대체 뭐가 얼마나 털렸어요?
3. 나는 개발자도 아닌데, 나도 위험한가요?
4. 지금 당장 이것만 해도 달라져요
5. 자주 묻는 질문

믿었던 보안 도구가 해킹 도구가 됐다고?

회사에서 업무용 노트북 쓸 때 IT팀이 "이거 꼭 설치하세요" 하고 보내주는 프로그램 있잖아요. 보안 프로그램이라고 하니까 당연히 믿고 설치하게 되는데, 근데 만약 그 설치 파일 자체가 이미 해킹된 거라면 어떨까요? 생각만 해도 소름 돋죠?

이번에 딱 그런 일이 실제로 벌어졌어요. Trivy(트라이비)라는 프로그램이 있는데, 이게 원래는 개발자들이 소프트웨어에 보안 취약점이 있는지 검사해주는 도구거든요. 쉽게 말하면 "백신 프로그램 같은 개발자용 보안 검사기"예요. 근데 그 보안 검사기가 공격자한테 털린 거예요.

공격자들은 Trivy를 배포하는 시스템에 몰래 침투해서 악성 버전을 진짜인 것처럼 올려뒀어요. 그러니까 개발자들 입장에서는 "공식 홈페이지에서 정식으로 받았는데?" 싶은 파일이 사실 해킹 도구였던 거예요. 솔직히 이건 전문가도 바로 알아채기 어려운 수준이에요.

주의 공급망 공격이란 이런 거예요. 내가 직접 수상한 링크를 클릭하거나 이상한 파일을 받은 게 아니라, 내가 믿고 쓰는 공식 소프트웨어 자체가 이미 감염된 상태로 배포되는 공격이에요. 아무리 조심해도 당할 수 있어서 더 무서운 방식이에요.

도대체 뭐가 얼마나 털렸어요?

이번 사건에서 피해를 받은 소프트웨어가 진짜 많아요. Trivy 말고도 TanStack(탄스택)이라는 또 다른 개발 도구도 함께 침해됐는데, 이 두 도구를 통해 연달아 다른 소프트웨어들까지 줄줄이 감염됐어요. 마치 도미노처럼요.

피해 범위	규모
npm 패키지 (자바스크립트 개발 도구 모음)	64개 이상
TanStack 패키지 (UI 개발 도구)	42개 패키지, 84개 버전
PyPI 패키지 (파이썬 개발 도구 모음)	litellm, telnyx 등 포함
VS Code 확장 프로그램	다수 영향
위험도 (CVSS 점수, 10점 만점)	9.4 / 9.6점

CVSS 점수가 9점대면 거의 최고 위험 등급이에요. 참고로 10점이면 "전 세계가 발칵 뒤집히는 수준"이라고 보면 돼요. 9.4, 9.6이면 사실상 거기에 준하는 수준이라는 거예요.

그리고 이 악성 파일이 설치되면 컴퓨터 안에서 몰래 pgmon 또는 sysmon이라는 백도어(몰래 열어둔 뒷문)를 심어요. 이 뒷문을 통해서 공격자의 서버(C2 서버)랑 주기적으로 연락을 주고받으면서 정보를 계속 빼내가는 구조예요.

TIP 백도어(Backdoor)는 해커가 나중에 다시 들어올 수 있게 몰래 만들어 둔 통로예요. 집에 비유하면 정문 자물쇠는 잠겨 있는데 뒷문에 해커만 아는 열쇠가 꽂혀 있는 상태라고 생각하면 돼요.

유출된 정보 목록도 어마어마해요. AWS·GCP·Azure 같은 클라우드 인증정보, SSH 키(서버 접속 비밀번호), 비트코인·이더리움 암호화폐 지갑 정보, 데이터베이스 비밀번호, 심지어 .env 파일(개발 환경 설정 모음)까지 전부 털렸어요. 진짜로 없는 게 없는 수준이에요.

나는 개발자도 아닌데, 나도 위험한가요?

여기서 "저는 개발자 아닌데 괜찮은 거 아닌가요?" 하실 수 있거든요. 근데 사실 꼭 그렇지만은 않아요. 직접 이 도구들을 쓰지 않더라도 간접적으로 피해를 받을 수 있어요.

예를 들어볼게요. 내가 매일 쓰는 회사 내부 시스템, 온라인 쇼핑몰, 앱 서비스들 있잖아요. 그거 만든 개발팀이 이번에 감염된 도구를 쓰고 있었다면, 그 개발팀의 서버 정보가 털린 거예요. 그 서버에 내 개인정보나 결제 정보가 있다면? 네, 연결이 되는 거예요.

또 요즘 회사에서 IT 업무를 하시는 분들 중에는 VS Code(비주얼 스튜디오 코드)라는 프로그램 쓰시는 분들도 있거든요. 이번에 VS Code 확장 프로그램도 영향을 받았기 때문에, 비개발 직군이라도 이 프로그램 쓰신다면 한 번쯤 확인이 필요해요.

주의 클라우드 계정 정보가 유출됐다면 즉시 비밀번호를 바꿔야 해요. AWS, GCP, Azure 등 클라우드 서비스를 업무에 쓰고 계신 분이라면, 혹시 모를 상황에 대비해서 토큰 재발급과 비밀번호 변경을 지금 바로 하는 게 안전해요.

지금 당장 이것만 해도 달라져요

겁부터 먹지 않아도 돼요. 내가 할 수 있는 것들이 분명히 있거든요. 아래 세 가지만 챙겨도 많이 달라질 거예요.

1

개발자·IT 담당자라면 지금 바로 버전 확인하기. Trivy, TanStack, litellm 등 이번에 영향받은 소프트웨어를 쓰고 있다면 버전을 확인하고 최신 정상 버전으로 업데이트하세요. 그리고 ~/.local/share/pgmon/ 또는 ~/.config/sysmon/ 경로에 이상한 파일이 있는지도 꼭 확인해봐야 해요.

2

클라우드·깃허브 토큰 전부 재발급하기. 혹시라도 감염된 환경에서 작업한 적 있다면 npm 토큰, PyPI 토큰, GitHub 토큰, AWS 액세스 키 등을 전부 무효화하고 새로 발급받는 게 안전해요. 귀찮더라도 이게 제일 확실한 방법이에요.

3

의심되면 바로 신고하기. 내 컴퓨터나 서버에서 이상한 네트워크 통신이 감지되거나 침해가 의심된다면 KISA 보호나라 누리집(boho.or.kr)에 즉시 신고할 수 있어요. 혼자 해결하려 하지 말고 전문 기관의 도움을 받는 게 훨씬 빠르고 안전해요.

TIP 일반 사용자분들은 사용 중인 앱이나 서비스에서 "최근 로그인 기록"을 한 번씩 확인해보는 습관이 정말 중요해요. 내가 로그인한 적 없는 기기나 지역에서 접속 기록이 있다면 비밀번호를 바로 바꾸고, 2단계 인증을 켜두는 게 좋아요.

자주 묻는 질문

Q. 저는 Trivy나 TanStack 들어본 적도 없는데, 저랑은 전혀 상관없는 거 아닌가요?

A. 직접 쓰지 않으셨다면 직접 피해 가능성은 낮아요. 근데 내가 쓰는 서비스나 회사 시스템을 만든 개발팀이 이 도구들을 사용했을 수 있거든요. 그쪽 서버 정보가 유출되면 간접적으로 내 정보도 위험해질 수 있어요. 그래서 평소에 중요한 계정에 2단계 인증을 설정해두는 게 제일 좋은 예방책이에요.

Q. 공식 사이트에서 받은 파일도 믿으면 안 되는 건가요?

A. 이번 사건처럼 공급망 공격은 공식 배포 시스템 자체를 침해하기 때문에 공식 경로로 받아도 감염될 수 있어요. 그래서 기업이나 개발팀은 소프트웨어 버전을 자동 업데이트에만 맡기지 말고, 해시값(파일 고유 인증번호) 검증이나 공식 보안 공지 구독을 병행하는 게 좋아요. 일반 사용자는 출처가 불분명한 확장 프로그램은 설치하지 않는 것만으로도 많이 안전해져요.

이번 사건이 괜히 먼 나라 얘기처럼 느껴질 수도 있는데, 사실 우리 일상이랑 생각보다 많이 연결돼 있어요. 내가 매일 쓰는 앱, 회사 시스템, 결제 정보가 어딘가의 개발 환경을 타고 이어져 있거든요. 겁먹으라는 게 아니라, 이런 일이 생기고 있다는 걸 알고 기본적인 것들만 챙기면 훨씬 안전해질 수 있어요. 오늘 읽은 거 주변에 개발자 친구 있으면 공유해줘도 좋을 것 같아요! 😊

참고 출처
KISA 보호나라&KrCERT/CC 공식 보안 공지
원문 보기

#공급망공격 #보안뉴스 #Trivy #TanStack #해킹주의 #KISA #개발자보안 #사이버보안