맥미니 서버도 피하기 어려운 소프트웨어 공급망 공격

2025~2026년의 은 우연히 빈틈을 찾는 수준을 넘어, 정해진 방식으로 반복되는 공격으로 바뀌었다. 공격은 npm, , , 같은 개발·배포 환경 전반에서 비슷한 모습으로 나타난다. 핵심 진입점은 새로 발견된 보안 구멍보다 이미 신뢰받는 개발 인프라인 경우가 많다.

피해를 크게 만드는 주요 방식은 OIDC 토큰 탈취, 캐시 오염, 의존성 혼동이다. 2020년대 초반의 을 막던 기존 방어책만으로는 2025~2026년 방식에 충분히 대응하기 어렵다. 2020년 SolarWinds 사건 때는 국가 수준의 자원, 정교한 악성 코드, 오랜 잠입이 필요했지만, 이제는 범죄 조직도 공개 도구와 잘못 설정된 , 패키지 저장소 생태계를 이용해 비슷한 종류의 공격을 시도할 수 있다.

근본 문제는 조직이 자신이 직접 소유한 시스템은 관리하지만, 실제로 의존하고 신뢰하는 외부 도구와 배포 흐름은 충분히 관리하지 않는 데 있다.

핵심 포인트

  • 2025~2026년 은 npm, , , 에서 반복되는 방식으로 나타난다.
  • 공격자는 새 보안 구멍보다 신뢰받는 개발·배포 인프라를 노린다.
  • OIDC 토큰 탈취, 캐시 오염, 의존성 혼동이 큰 피해를 만드는 주요 기법으로 꼽힌다.
  • 2020년대 초반 방식에 맞춘 기존 방어책만으로는 최신 을 막기 어렵다.
  • 운영자는 코드 배포 흐름, 패키지 설치, 비밀 토큰 관리를 함께 점검해야 한다.
원문 보기