“자바스크립트 핵심 라이브러리 대규모 감염”…글로벌 암호화폐 보안, 공급망 위협 확산

현지시각 기준 10일, 글로벌 개발자 커뮤니티와 암호화폐 시장을 흔드는 악성코드 사건이 발생했다. 해커들이 널리 사용되는 자바스크립트(Node.js) 핵심 라이브러리에 침투, 암호화폐 거래 탈취를 노린 것으로 드러나면서 국제 소프트웨어 공급망 전반의 긴장감이 고조되고 있다. 이 사태는 오픈소스 생태계가 보안 위협에 얼마나 취약한지 여실히 보여주고 있으며, 암호화폐 거래자와 일반 IT 서비스 사용자 모두를 불안에 빠뜨렸다.

공격자는 유명 개발자인 ‘qix’의 공식 NPM(node packet manager) 계정을 탈취한 후, ‘chalk’, ‘strip-ansi’, ‘color-convert’, ‘color-name’ 등 매주 10억 회 이상 다운로드되는 주요 패키지에 대규모 악성 버전을 배포했다. ‘크립토-클리퍼(crypto-clipper)’로 불리는 이 악성코드는 네트워크 트래픽 과정에서 암호화폐 지갑 주소를 몰래 공격자 소유 지갑으로 바꾸는 식으로 작동했다. 특히 시각적으로 유사한 지갑 주소를 자동 생성, 이용자가 감지하기 어렵도록 설계된 점이 전문가들의 경계를 키웠다.

해커들은 두 갈래 공격 경로를 이용했다. 사용 환경에서 암호화폐 지갑 확장 프로그램이 탐지되지 않으면, 브라우저와 서버의 기본 HTTP 통신 함수를 변조해 네트워크 요청 전체를 탈취했다. 반면 이미 지갑이 설치된 경우, 거래 서명 전 단계 데이터를 조작해 자금이 공격자 주소로 이동하도록 했다. 사이버보안 업계는 “해당 방식이 거래 서명 전 단계에서 실행돼 소프트웨어 지갑 또는 브라우저 지갑 사용자들은 피해를 알기 어렵다”고 지적했다.

사건은 빌드 파이프라인에서 ‘fetch is not defined’ 오류가 반복적으로 발생한 뒤에야 외부로 유출되는 데이터 흐름을 추적하며 악성코드 삽입 사실이 적발됐다. 하드웨어 지갑을 쓰는 사용자는 거래 서명 단계에서 주소를 직접 검증해 방어가 가능하지만, 소프트웨어 지갑 또는 브라우저 확장 사용자들은 당분간 온체인 거래를 자제해야 한다는 경고가 이어졌다. 레저(Ledger)의 최고기술책임자 샤를 기예메는 “하드웨어 지갑으로 반드시 거래를 검증하라”고 현실적 대책을 조언했다.

이번 공격의 파장은 암호화폐에만 국한되지 않는다. 자바스크립트/Node.js 기반 웹, 데스크톱, 서버, 모바일 등 전반에 걸친 비즈니스 애플리케이션에도 영향을 줄 수 있어 글로벌 IT 산업계가 바짝 긴장하고 있다. 다만 실제 피해는 암호화폐가 연동된 환경에서만 발생하는 조건부 구조라는 점이 보완 요소로 거론된다.

사태 직후 주요 탈중앙화 거래소 유니스왑(Uniswap)과 블록스트림(Blockstream)이 “자사에는 직접적 피해가 없다”며 조기 진화에 나섰으나, 이번 파문은 오픈소스 소프트웨어 개발과 암호화폐 생태계 모두의 신뢰성 문제로 비화하고 있다. 뉴욕타임스 등 주요 외신은 “공급망 공격이 IT 신뢰 기반 전체를 뒤흔드는 전환점이 될 것”이라며 광범위한 보안 경계령을 내렸다.

전문가들은 앞으로도 소프트웨어 공급망을 겨냥한 유사 사건이 반복될 수 있다고 경고하며, 글로벌 협력과 신뢰 프로세스 재정립의 필요성이 시급해졌다고 분석한다. 국제사회는 이번 보안 위기의 여진과 후속 조치 이행을 예의주시하고 있다.