‘인터넷에서 무작위로 가져오지 마세요’: 체인가드가 52,000개 오픈소스 패키지에서 발견한 내용
Source: The New Stack
**에이전트형 개발**의 약속은 누구든지—재무 분석가, 운영 관리자, 비기술 창업자—가 **바이브 코딩**을 통해 엔지니어링 팀을 기다리지 않고도 솔루션을 만들어낼 수 있다는 점이다. 하지만 전제는 AI가 생성한 애플리케이션에 들어가는 오픈소스 구성 요소가 안전하다는 것이다.
공급망 보안 기업 Chainguard(https://www.chainguard.dev/)는 그렇지 않다고 베팅하고 있으며, 이를 입증할 데이터가 있다고 주장한다.
이 회사는 이번 주에 기존 악성코드 탐지를 넘어 “그레이웨어”라 부르는 것을 잡아내는 새로운 **소스 코드 스캐너**를 공개했다. 그레이웨어란 “광고대로 정확히 동작하고, 현재 시장에 나와 있는 모든 보안 스캔을 통과하지만, 기업 보안 팀이 절대 허용하지 않을 행동을 하는 오픈소스 패키지”를 의미한다.
“재무팀의 프랭크는 코더가 아니다. 그는 FP&A 담당자다. 그래서 ‘바이브 코딩’으로 무언가를 만들 수 있다고 해도, 어디서든 온 무작위 코드를 그냥 가져다 쓰지 말고, 악의적인 행위자에 의해 조작될 가능성이 있는 코드를 사용하지 말라는 솔루션이 필요하다.”
Chainguard CISO Quincy Castro(https://www.linkedin.com/in/quincy-castro/)는 The New Stack과의 브리핑에서 이렇게 말했다.
“에이전트형 코드 개발의 큰 약속은 조직이 공급업체가 제공하려는 것만 고를 수밖에 없던 세계에서 벗어나 전환할 수 있게 해준다는 점이다. 하지만 재무팀의 프랭크는 코더가 아니다. 그는 FP&A(재무 계획 및 분석) 담당자다. 그래서 ‘바이브 코딩’으로 무언가를 만들 수 있다고 해도, 어디서든 온 무작위 코드를 그냥 가져다 쓰지 말고, 악의적인 행위자에 의해 조작될 가능성이 있는 코드를 사용하지 말라는 솔루션이 필요하다.”
새로운 Chainguard 스캐너는 현재 하루에 10만 개가 넘는 패키지를 분석하고 있으며, 이미 52,000개가 넘는 악성 또는 그레이웨어 패키지를 차단했다.
그레이웨어란?
구분이 중요하다. 전통적인 악성코드는 자신의 동작을 숨긴다. Chainguard가 정의한 그레이웨어는 기능을 투명하게 밝히지만, 해로운 부분을 눈에 띄게 드러내는 방식이다.
Castro가 브리핑에서 제시한 예 중 하나는 소셜 미디어 자동화 패키지였다. 이 패키지는 동작에 접근 토큰이 필요했지만, 동시에 그 토큰을 원격 명령‑제어 서버로 내보냈다. 이는 명시된 목적과 전혀 연결되지 않으며, 패키지를 설치한 개발자에게도 전혀 고지되지 않았다.
“보통 사람은 자신이 시스템에서 토큰을 내보내어 어디선가 알 수 없는 목적에 사용될 것이라고 생각하지 않을 것이다.”
“당신은 이 도구가 당신이 하는 일을 자동화하도록 접근 권한을 부여한다고 생각한다,” 라고 Castro는 말한다. “하지만 보통 사람은 자신이 시스템에서 토큰을 내보내어 알 수 없는 목적에 사용될 것이라고는 상상하지 못한다.”
이러한 패턴은 자격 증명 도난, API 키 수집, 명령 가로채기, 지속적인 원격 접근 등에서 나타난다. Chainguard는 이미 npm에서 다섯 개의 실시간 사례를 확인했는데, chrome-tools, @robinpath/cloud-cli와 같은 패키지는 Chrome 비밀번호, 쿠키, 신용카드 데이터를 수집하거나 제3자 서버에 영구적인 백도어를 설치한다. 이 다섯 패키지는 모두 아직 다운로드 가능하며, 레지스트리에서 신뢰 신호로 사용하는 7일 쿨다운 기간도 통과했다.
Castro는 그레이웨어가 실제 환경에서 순수 악성코드보다 더 흔하고, 더 미묘해서 잡기 어렵다고 믿는다.
“그레이웨어 패키지는 합리적인 개발자나 기업이 애플리케이션에 기대하거나 원하거나 허용하지 않을 기능을 가지고 있다면, 정식 검토를 거치게 될 것이다,” 라고 Chainguard의 Staff Product Marketing Manager인 Ross Gordon(https://www.linkedin.com/in/rosscgordon/)과 Staff Security Engineer인 Evan Gibler(https://www.linkedin.com/in/egibs/)가 블로그 포스트(https://www.chainguard.dev/unchained/the-expanding-threat-landscape-chainguard-now-scans-source-code-for-traditional-malware-and-greyware)에서 설명한다.
“이 패키지들은 공개 레지스트리에서 다운로드하는 다른 모든 패키지와 겉모습은 동일하지만, 보안상의 심각한 결함을 가지고 있다. 그들은 자신이 하는 일을 솔직히 선언하고, 그 행동은 해롭다. 우리가 발견한 사례는 자격 증명 도난, 명령 가로채기, API 키 수집, 지속적인 원격 접근이 복합적으로 얽혀 있다.”
AI가 문제를 악화시키는 이유
그레이웨어 문제는 새로운 것이 아니다. 하지만 에이전트형 개발은 관리 가능한 위험을 구조적인 위험으로 바꾸었다고 Castro는 설명한다.
AI 코딩 도구가 등장하기 전에도 수동 코드 리뷰는 이미 비현실적이 되고 있었다. 이제 비기술 사용자가 자연어 프롬프트로 애플리케이션을 만들고 AI 에이전트가 자동으로 의존성을 끌어오면서, 그레이웨어에 노출되는 표면적이 크게 확대되었으며, 인간의 감시가 따라잡을 수 없게 되었다.
“우리가 소스의 거대한 부분을 대상으로 거대한 규모로 진행하든, 개발자가 스스로 진행하든—누구에게든 점점 실용적이지 않게 된다.”
“우리가 소스의 거대한 부분을 대상으로 거대한 규모로 진행하든, 개발자가 스스로 진행하든—누구에게든 점점 실용적이지 않게 된다,” 라고 Castro는 수동 리뷰에 대해 말한다.
이는 기업용 에이전트 파동에 대한 구체적인 위협 모델을 만든다. 지식 근로자가 워크플로 자동화 도구를 바이브 코딩하고, 그들의 에이전트가 접근 토큰을 수집하는 패키지를 끌어오면, 개발자와 피해 사이에 SRE 팀이 존재하지 않게 된다는 것이다.
Chainguard의 스캐너는 바로 그 병목 지점에 위치하도록 설계되었다. 개발자가 패키지를 요청할 때 스캔하는 것이 아니라—악성 패키지가 캐시된 뒤 탐지가 이루어지는 노출 창을 만들지 않도록—패키지가 Chainguard Libraries 카탈로그에 추가되기 전부터 분석한다.
스캐너는 유지보수자 행동, 패키지 내용, 배포 신호, 샌드박스 환경에서의 동적 실행을 평가하고, 패키지가 제공되기 전까지 결정을 내린다.
경쟁 주장
Chainguard 블로그 포스트는 경쟁사들이 명백한 악성코드만 잡는다고 단언한다. 이를 뒷받침하라는 질문에 Castro는 그 입장을 고수했으며, 경쟁사들이 뒤처진 이유에 대한 가능한 설명을 제시했다.
“우리는 매일, 매시간 방대한 양의 오픈소스를 실제로 구축한다,” 라고 그는 말한다. “우리는 이 패키지들이 어떻게 생겼는지, 빌드될 때 어떤 텔레메트리를 보이는지에 대한 많은 데이터를 가지고 있다. 다른 사람들은 갖고 있지 않은 신호가 우리에게 있을 수도 있다.”
Socket, Snyk, Sonatype, Endor Labs 등은 모두 오픈소스 패키지의 행동 분석에 큰 투자를 해왔다.
잘못된 양성(오탐)과 관련해, Castro는 현재까지 감지된 사례가 없다고 전한다. 또한 차단된 패키지를 화이트리스트에 올릴 수 있는 정책 오버라이드 레이어를 구축 중이며, Chainguard 제품 보안 팀이 해당 결정을 감독하고 화이트리스트된 패키지의 행동 변화를 지속적으로 모니터링한다.
“우리는 거짓 음성을 허용해 거짓 음성을 방지하려는 의도적인 트레이드오프를 하고 있다,” 라고 Chainguard 공동 설립자이자 CEO Dan Lorenc(https://www.linkedin.com/in/danlorenc/)가 LinkedIn 포스트에서 적었다. “우리의 초기 테스트는 이것이 다른 모든 악성코드 스캐너보다 동등하거나 더 우수하게 작동하며, 그레이웨어 차단이라는 부가 이점을 제공한다. 만약 우리가 너무 과하게 차단한다면, 개별 패키지를 허용 목록에 올릴 수 있다. 우리는 당신을 판단하지 않을 것이다.”
더 큰 그림
그레이웨어라는 포지셔닝은 크게 무시돼 왔던 문제를 지적한다. 공급망 보안(https://t