요약 : 보안 외신 SC미디어에 의하면 NPM 레지스트리의 사용자들이 지원 기간이 끝나 사실상 방치되어 있는 패키지들을 어마어마하게 다운로드 받는 것으로 밝혀졌다고 한다. 이런 다운로드 횟수는 매주 21억 회에 달한다고 한다. 개발자의 지원이 더 이상 이뤄지지 않는 패키지들에는 패치되지 않은 취약점들이 존재할 가능성이 높아서 문제다. 취약점이 발견된다고 하다라도 지원 기간이 끝났으므로 패치가 나오지 않을 가능성이 높다. 대다수 NPM 사용자들은 이러한 사실을 인지하지 못하고 있는 것으로 보인다.


배경 : NPM과 같은 코드 및 패키지 공유 사이트들은 공격자들의 자주 노리는 표적이 되고 있다. 악성 패키지를 만들어 정상 패키지와 비슷한 이름으로 업로드 해 개발자들을 감염시키는 식의 공격이 성행한다. 이런 상황에서 지원이 끝난 패키지들이 삭제되지 않은 채 방치되어 있기까지 해 패키지 공유 사이트가 가진 리스크는 더욱 커지고 있다.

말말말 : “가장 많이 사용되는 5만 개 패키지들 중 대략 20%가 제대로 된 관리를 받지 못하고 있는 것으로 보입니다. 악성 패키지를 조심하기 전에 이런 관리 소홀 문제부터 해결되도 코드 공유 플랫폼들은 훨씬 안전해질 겁니다.” -SC미디어-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>