3시간짜리 업데이트가 서비스를 털어갈 수 있다면?

이건 그냥 보안 사고 하나가 아니라, 오픈소스 생태계 전체에 던지는 경고야.
겉으로 보면 단순한 해킹 같지만, 실제로는 신뢰를 무기로 한 공급망 공격의 완성형에 가까워.

 

[Source: ChatGPT 생성]

 

사건 한 줄 정리

2026년 3월, 북한 해킹 조직이 인기 오픈소스 라이브러리 Axios의 유지보수자를 속여 PC를 장악하고, 악성 코드가 포함된 패키지를 npm에 배포했어. 그리고 그 위험한 창은 단 3시간 열려 있었어.

짧다고? 그 3시간이면 이미 충분해.

 

어떻게 뚫렸나 (진짜 무서운 포인트)

이건 기술 해킹이 아니라, 사람을 해킹한 사건이야. 공격자는 몇 주 동안 가짜 회사를 만들고, 실제처럼 보이는 직원 프로필과 협업 환경까지 구축했어. Slack도 만들고, 대화도 하고, 관계도 쌓았지.

완전히 신뢰를 만든 다음, 이렇게 들어가 ㅡ,.ㅡ “화상 회의 연결하려면 업데이트 하나만 설치해 주세요”

이 한 줄로 끝이야. 개발자가 그걸 실행하는 순간,
→ PC 장악
→ 코드 접근
→ 패키지 수정
→ npm 배포

그리고 끝. 이게 바로 요즘 해킹의 본질이야. 취약점은 코드가 아니라 사람이다.

 

왜 이게 진짜 위험하냐

Axios는 그냥 라이브러리가 아니야. 거의 모든 웹 서비스에서 쓰이는 인프라급 HTTP 클라이언트야.

즉, 이걸 건드렸다는 건 뭐냐면 하나의 공격으로
→ 수천, 수만 개 서비스
→ 그 뒤에 있는 사용자들
→ 그리고 계정, 토큰, 지갑까지

연쇄적으로 털 수 있다는 거야. 특히 이번 악성 코드가 노린 건 단순 데이터가 아니야. 인증 정보, 비밀번호, 암호화폐 키 이건 그냥 해킹이 아니라 돈이 되는 해킹이야.

 

이 패턴, 처음이 아니야

이건 우발적인 사건이 아니야. 북한 해킹 조직이 반복적으로 써온 전형적인 패턴이야.

• VC 사칭
• 리크루터 사칭
• 협업 제안
• 화상 회의 요청
• 프로그램 설치 유도

이 흐름이 계속 반복되고 있어. 이번에는 타겟이 달랐을 뿐이야.

이전: 암호화폐 개발자
이번: 오픈소스 유지보수자

결론은 하나야. 개발자도 이제 고가치 타깃이야.

 

구조적인 문제: 오픈소스의 아이러니

여기서 더 중요한 건 구조야. 많은 핵심 오픈소스는 실제로 1~2명의 개인이 유지하고 있어.

이걸 버스 팩터라고 하지. 즉, 그 사람 하나 뚫리면 → 전체 생태계가 위험해지는 구조야. Log4j 사건 이후에도 변한 게 별로 없다는 게 더 문제야. 우리는 아직도 “무료인데 잘 돌아가니까 쓰는” 상태야.

 

실무에서 바로 써먹는 체크리스트

이건 그냥 뉴스로 끝내면 의미 없어.

1) 의존성 관리

• 라이브러리 무조건 최신 = 좋은 거 아님
• 업데이트 전에 검증 프로세스 필요
• SBOM(소프트웨어 구성 목록) 관리 필수

한 줄 정리하면 “npm install 전에 한 번 더 의심해라”

2) 오픈소스 유지보수자 보호

회사 서비스가 특정 라이브러리에 의존한다면 그 유지보수자는 사실상 우리 팀원이야. 근데 아무 지원도 안 하고 있어. 이제는 이렇게 가야 해

• 보안 키 제공 (예: 하드웨어 키)
• 보안 교육 지원
• 공식 후원 + 보안 협업

이건 CSR이 아니라 리스크 관리야.

3) 사회공학 대응 (진짜 중요)

요즘 공격은 기술이 아니라 상황으로 들어와. 그래서 조직 차원에서 룰이 필요해

• 외부 요청으로 프로그램 설치 금지
• 협력사 도메인 검증 프로세스
• 의심 상황 즉시 공유 채널 운영

특히 개발자들은 “기술은 잘 아는데 사람은 잘 믿는” 경우가 많아. 이게 지금 가장 큰 취약점이야.

 

결국 남는 질문 하나

오픈소스는 “신뢰” 위에서 돌아가는 생태계야. 근데 지금 상황은 바뀌고 있어.

신뢰를 전제로 쓰던 시대에서 이제는 “이 신뢰를 어떻게 검증할 것인가” 이걸 고민해야 하는 단계야.

다음에 npm install 치기 전에 잠깐만 멈춰봐. 그 한 줄이 서비스 전체를 열어버릴 수도 있어.