코드 공유 플랫폼 자꾸만 노리는 공격자들...NPM이 최근 들어 가장 ‘핫’해

요약 : 개발자들끼리 자바스크립트 패키지를 공유하는 플랫폼인 NPM에서 악성 패키지 다수가 발견됐다. 지난 6개월 동안에만 무려 1300개의 악성 패키지들이 NPM에서 유통되고 있었다고 한다. 2021년 한 해 내내 한 달 평균 3만 2천여 개의 악성 패키지가 NPM에 업로드 되었으며, 이 수는 갈수록 늘어갈 전망이라고 한다. 자바스크립트는 매우 인기가 높은 개발 언어이며, NPM은 자바스크립트 생태계에서 가장 중요한 위치를 차지하고 있는 플랫폼 중 하나다. 따라서 악성 패키지의 파급력은 어마어마한 수준이다.


배경 : 개발자들은 오픈소스를 갈수록 많이 사용하는 추세다. 이 때문에 오픈소스에 대한 보안 문제가 최근 보안 업계의 가장 큰 화두로 자리를 잡아가고 있다. 오픈소스를 감염시키면, 해당 오픈소스를 사용하는 개발자의 작품들에 전부 악성 기능이 심겨지게 된다. 미국 정부는 빅테크 기업들과 오픈소스 보호를 위한 계획을 마련하고 있기도 하다.

말말말 : “NPM에는 자동 악성 코드 탐지 도구가 없습니다. 그래서 데이터를 삭제하거나 어디론가 옮기는 악성 기능을 NPM에 업로드해도 탐지가 되지 않습니다. 지금은 누구나 NPM에 악성 코드를 심을 수 있다고 봐야 합니다.” -화이트소스 디펜드(WhiteSource Diffend)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>