개발자들 노리는 또 다른 유형의 공급망 공격...마니페스트가 문제

요약 : 보안 외신 해커뉴스에 의하면 node.js 환경에서 발동되는 새로운 공격 기법이 발견됐다고 한다. 마니페스트 컨퓨전(manifest confusion) 공격이라고 하며, 이 공격에 성공할 경우 공격자들은 멀웨어를 프로젝트에 숨기거나 임의의 스크립트를 실행할 수 있게 된다고 한다. 코드 패키지들을 이용하는 개발자들 사이에 만연한 마니페스트에 대한 거의 무조건적인 신뢰를 악용하는 공격이라고 볼 수 있으며, 따라서 개발자를 노리는 일종의 공급망 공격의 한 전략으로서 자리를 잡을 것으로 예상된다.


배경 : 마니페스트는 코드나 패키지의 구성 요소들에 대한 정보가 담긴 파일이다. 패키지를 다운로드 받아 사용하기 전에 마니페스트의 내용까지 확인하는 게 올바른 절차이지만, 현실에서는 거의 아무도 하지 않는다. 그렇기 때문에 공격자가 이 마니페스트 안에 악성 요소를 집어넣는다 하더라도 확인되지 않고 무사통과 될 수밖에 없다.

말말말 : “마니페스트 컨퓨전은 개발 환경에서 작업하는 사람들에게는 매우 까다로운 공격 기법입니다. 특히 개발의 모든 과정에 보안 점검 요소를 접목하지 않은 환경에서라면 꽤나 성공률이 높을 수밖에 없는 전략이라고 볼 수 있습니다.” -소나타입(Sonatype)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>