엔터프라이즈용 클라우드 네이티브 앱 보안업체 체크막스는 자사 랩에서 지난 한 해 15만 878개의 악성 패키지를 확인했다고 21일 밝혔다.

최근 오픈소스를 활용한 소프트웨어 개발이 90%에 이르고 월 평균 70만 개 이상 오픈소스 기반 패키지가 배포 되면서 다양한 기업이 악성 패키지의 공격을 받고 있다.오픈소스소프트웨어(OSS)의 경우 무단 액세스 권한을 얻거나 중요한 데이터를 훔치기 위해 취약한 종속성을 악용하는 경우가 많으며 시스템을 손상시키기 위한 공격 벡터로 악용되기도 한다.

대표적 사례로는 솔라윈즈(SolarWinds)와 같은 악의적인 행위자가 공급업체의 배포판을 활용하여 더 큰 공격을 위해 시스템에 침해하는 행위나 로그포쉘(Log4Shell)의 예와 같이 복잡한 애플리케이션의 생성에서의 우발적인 보안 결함 등이 있다.

OSS의 위험 허용 범위도 빠르게 변화하고 있다. 소프트웨어 공급망 보안은 초기 개발부터 최종 사용자에게 전달되는 소프트웨어 생성 및 배포의 전체 프로세스를 보호하는 데 중점을 두는데, 소프트웨어 공급망을 공격하는 경우나 공급망의 취약점을 노리는 사례가 많은 상황이다. 2021년부터는은행권에서 배포한 오픈소스 패키지에 대한 공격까지 계속 이어지는 중이다. .

한편, 체크막스는 악성패키지가 SDLC(Software Development Life Cycle) 유입을 방지하기 위해 앤터프라이즈 네트워크의 아티팩트 서버에 적용하는 '체크막스 공급망 위협 지능형 API'를 개발했다.