체크막스는 지난해 '오픈소스소프트웨어(OSS)'에서 16만개 이상 악성 패키지를 발견했다고 20일 밝혔다.
회사는 조사를 통해 오픈소스를 활용한 소프트웨어 개발이 90% 가량에 이르고, 월 평균 70만개 이상의 오픈소스 기반 패키지가 배포되면서, 소프트웨어 공급망 보안이 위협을 받고 있다고 진단했다. 최근 은행권에서 배포한 오픈소스패키지를 대상으로 한 공격도 있었다는 게 회사 측 지적이다.
특히 체크막스 랩은 지난해 15만878개 악성 패키지를 발견했다. 이는 같은 해 보고된 CVE 취약점 개수 2만5226개의 약 6배다.
오픈소스 기반 패키지 배포가 늘어나면서 이를 노린 악성 행위, 보안 위협 등도 급증했다. OSS의 경우 무단 액세스 권한을 얻거나 중요한 데이터를 훔치기 위해 취약한 종속성을 악용하는 경우가 많으며 시스템을 손상시키기 위한 공격 벡터로 악용된다.
OSS 위험 허용 범위도 변화하고 있다. 소프트웨어 공급망을 공격하는 경우나 공급망의 취약점을 노리는 사례가 많은 상황이다. 박찬수 체크막스코리아 실장은 “소프트웨어 공급망 공격자와의 싸움은 갈수록 지능화할 것”이라며 “악성 패키지가 SDLC에 유입되지 않도록 방지해야 한다”고 했다.
임중권 기자 lim9181@etnews.com
