서론

2026년 3월 31일, 전 세계 자바스크립트 생태계의 핵심 인프라로 꼽히는 HTTP 클라이언트 라이브러리인 Axios가 초유의 소프트웨어 공급망 공격에 무너지는 사태가 발생했습니다. 주간 다운로드 수가 1억 건을 상회하며 수백만 개의 지속적 통합 및 배포 파이프라인에 내장된 Axios는 현대 웹 개발에서 절대적인 신뢰를 받는 오픈소스 패키지였습니다. 북한의 지원을 받는 것으로 추정되는 국가 배후 위협 그룹 UNC1069는 정교한 사회공학적 기법과 고도화된 기술적 우회 전술을 결합하여 핵심 메인테이너의 계정을 탈취하고 크로스 플랫폼 악성코드를 유포했습니다. 이번 사건은 단일 유지보수 관리자의 보안 실패가 전 세계적인 IT 인프라 마비로 이어질 수 있음을 입증했으며, 자동화된 패키지 매니저 업데이트에 의존해 온 개발자들의 맹목적인 믿음을 근본적으로 뒤흔들었습니다.

배경

Axios는 Node.js와 웹 브라우저 환경 모두에서 HTTP 요청을 처리하는 사실상의 표준 도구로 자리 잡았으며, 직간접적으로 의존하는 프로젝트만 17만 4천여 개에 달합니다. 이러한 압도적인 채택률은 공격자가 단 한 번의 상류망 타격으로 하위망 전체에 최대의 파괴력을 행사할 수 있는 완벽한 표적이 되었습니다. 구글 위협 인텔리전스 그룹에 의해 금전적 동기를 지닌 북한 연계 해킹 조직인 UNC1069로 식별된 이들은 무차별 대입 공격을 배제하고 Axios의 수석 메인테이너인 제이슨 사이먼을 향한 극도로 개인화된 사회공학적 공격을 전개했습니다. 과거 블루노로프 및 고스트콜이라는 이름으로 암호화폐 탈취를 주도했던 이 그룹은 고도화된 지능형 지속 위협의 전형을 보여주었습니다.

공격자들의 치밀한 기만전술은 실제 페이로드가 배포되기 수주 전부터 시작되었습니다. 이들은 실존하는 유명 기술 기업과 창업자의 모습을 완벽하게 복제했으며, 실제 활동하는 오픈소스 기여자들의 가짜 프로필로 가득 찬 매우 정교한 슬랙 워크스페이스를 구축했습니다. 충분한 신뢰 관계를 형성한 후, UNC1069는 사이먼을 마이크로소프트 팀즈 화상 회의로 유인했습니다. 통화 도중 시스템의 중요 구성 요소가 업데이트되지 않았다는 가짜 에러 메시지를 화면에 띄워 메인테이너가 소프트웨어 패치로 위장한 WAVESHAPER.V2 원격 제어 트로이목마를 직접 설치하도록 유도했습니다. 이 치명적인 악성코드는 이중 인증 보안 장치를 무력화하고 npm 공식 릴리스를 게시하는 데 필요한 최고 권한의 액세스 토큰을 사이먼의 로컬 시스템에서 성공적으로 탈취했습니다.

핵심 분석

탈취한 자격 증명을 손에 넣은 UNC1069는 깃허브 액션 기반의 OIDC 신뢰할 수 있는 퍼블리셔 검증 및 SLSA 출처 증명을 우회하고, 명령줄 인터페이스를 통해 npm 레지스트리에 직접 악성 패키지를 게시했습니다. 이들은 공격의 흔적을 숨기기 위해 2026년 3월 30일 05시 57분경 정상적인 암호화폐 관련 라이브러리로 위장한 plain-crypto-js 버전 4.2.0을 등록하여 레지스트리 기록을 생성했습니다. 그리고 불과 몇 시간 뒤인 23시 59분에 악의적인 postinstall 스크립트를 포함한 plain-crypto-js 4.2.1 버전을 기습적으로 배포하며 본격적인 공급망 침투의 교두보를 마련했습니다.

본격적인 폭발은 2026년 3월 31일 새벽에 시작되었습니다. 침해된 계정은 이메일 주소를 공격자가 통제하는 주소로 변경한 후, 00시 21분에 최신 분기인 Axios 1.14.1 버전을, 01시 00분에 레거시 분기인 0.30.4 버전을 잇달아 레지스트리에 등록했습니다. 공격자들은 Axios의 핵심 소스 코드를 직접 수정하는 대신 유령 의존성 주입이라는 교묘한 방식을 택했습니다. Axios 코드 내에서는 단 한 번도 호출되지 않는 plain-crypto-js 4.2.1을 package.json에 종속성으로 강제 추가한 것입니다. 이를 통해 npm의 자동 의존성 해결 프로세스가 Axios 설치 과정에서 사용자의 개입 없이 악성 페이로드를 다운로드하고 실행하도록 만들었습니다.

plain-crypto-js 페이로드의 기술적 정교함은 고도로 난독화된 2단계 드로퍼 모듈에서 여실히 드러났습니다. 패키지 설치 시 자동으로 실행되는 postinstall 훅은 setup.js 스크립트를 조용히 호출했습니다. 이 스크립트는 문자열 역순 배열과 Base64 디코딩을 결합한 1차 해제 후, 정적 주파수 분석을 방해하기 위해 위치 기반 인덱스 배열과 OrDeR_7077이라는 하드코딩된 키를 사용하는 동적 XOR 암호화를 적용하여 안티바이러스의 탐지를 철저히 회피했습니다. 실행된 스크립트는 호스트 운영 체제가 macOS, Windows, Linux 중 무엇인지 정밀하게 판별한 뒤, 142.11.206.72 IP와 연결된 sfrclak.com의 8000번 포트에 호스팅된 명령 제어 서버로 통신을 시도했습니다. 서버는 운영 체제에 맞춰 macOS용 애플스크립트, Windows용 파워쉘, Linux용 파이썬 스크립트 형태의 맞춤형 원격 제어 트로이목마를 반환했습니다. 또한 포렌식 분석을 지연시키기 위해 시스템 장악 직후 악성 파일 스스로를 깨끗한 미끼 파일로 교체하는 강력한 안티 포렌식 기능까지 탑재했습니다.

산업에 미친 영향

오염된 1.14.1 및 0.30.4 버전이 초래한 피해의 범위는 상상을 초월했습니다. 이는 패키지 매니페스트에 캐럿 기호를 사용하여 부 버전 업데이트를 자동으로 허용하는 자바스크립트 생태계의 시맨틱 버저닝 관행 때문이었습니다. 이 자동 업데이트 설정으로 인해 글로벌 기업들의 빌드 자동화 시스템은 소스 코드 검토 없이 치명적인 악성 패키지를 즉시 다운로드했습니다. 보안 자동화 스캐너들이 단 6분 만에 plain-crypto-js를 위험도 0점의 악성코드로 분류했음에도 불구하고, 유일한 관리자 권한을 가진 메인테이너의 계정이 탈취된 상태였기 때문에 커뮤니티는 즉각적인 조치를 취할 수 없었습니다. npm 공식 관리자가 개입하여 03시 30분경 토큰을 폐기하고 패키지를 삭제하기 전까지 약 3시간 동안, 셀 수 없이 많은 파이프라인과 개발자 워크스테이션이 백도어가 심어진 라이브러리를 시스템 깊숙이 받아들였습니다.

정부 기관과 엔터프라이즈 보안 환경에 미친 여파는 즉각적이고 치명적이었습니다. 미국 사이버보안 및 인프라 보안국과 마이크로소프트를 비롯한 보안 업체들은 긴급 보안 권고문을 발표하고 조속한 대응을 촉구했습니다. 감염 의심 윈도우에 노출된 모든 조직은 즉시 Axios를 안전한 버전인 1.14.0과 0.30.3으로 다운그레이드해야만 했습니다. 또한 손상된 환경에서 실행된 npm 패키지 캐시를 강제로 비우고, 시스템에 노출되었을 가능성이 있는 클라우드 키, SSH 토큰, 지속적 통합 파이프라인의 시크릿 키 등을 전면 교체하는 대규모 후속 조치가 이어졌습니다. 이번 사태는 단 한 명의 유지보수 담당자 계정 탈취만으로도 수백만 명의 최종 사용자에게 악성 코드를 직접 유포할 수 있다는 현대 소프트웨어 공급망의 뼈아픈 취약점을 백일하에 드러냈습니다.

향후 전망

UNC1069에 의한 이번 Axios 침해 사태는 국가 배후 사이버 공격의 패러다임이 전통적인 네트워크 경계망 돌파에서 오픈소스 생태계 상단의 원천 오염으로 진화하고 있음을 명확히 시사합니다. 위협 그룹들이 개발자 도구의 공급망을 공격하는 것이 지니는 엄청난 비대칭적 이점을 체감함에 따라, 향후 오픈소스 프로젝트의 핵심 메인테이너들은 고가치의 정보 표적으로 분류되어 집중적인 표적 공격을 받게 될 것입니다. 이번 캠페인의 충격적인 성공은 다양한 해킹 조직들의 모방 공격을 빈번하게 촉발할 것이며, 이는 IT 업계 전반에 걸쳐 패키지 레지스트리 내의 신뢰 검증 방식을 근본적으로 재설계해야 한다는 거대한 압박으로 작용할 것입니다.

앞으로 소프트웨어 엔지니어링 업계는 엄격한 종속성 버전 고정 정책과 패키지 다운로드 지연이라는 방어 메커니즘을 시급히 표준화해야 합니다. 새로 게시된 패키지의 사내망 도입을 단 72시간만 지연시키는 에어갭 정책을 적용하더라도 위협 인텔리전스 스캐너가 이상 징후를 탐지할 시간을 충분히 확보하여 유령 의존성 공격의 대다수를 무력화할 수 있습니다. 나아가 패키지 레지스트리 제공자들은 고위험 프로젝트에 대해 하드웨어 기반의 강력한 다중 인증과 암호화 서명을 의무화하고, 명령줄을 통한 불안전한 수동 업로드를 원천 차단하는 완전한 OIDC 자동화 배포 프로세스를 의무적으로 강제하는 방향으로 플랫폼 정책을 전환해야 할 것입니다.

결론

2026년 4월에 발생한 Axios npm 공급망 공격은 전 세계 자바스크립트 생태계 역사상 가장 충격적이고 뼈아픈 이정표로 기록될 것입니다. 북한 연계 조직인 UNC1069는 극도로 개인화된 사회공학적 속임수와 다단계 크로스 플랫폼 악성코드 배포 기술을 완벽하게 결합함으로써, 전 세계 IT 기업들이 맹목적으로 의존하는 오픈소스 공급망이 얼마나 취약한 기반 위에 위태롭게 서 있는지를 냉혹하게 증명했습니다. 이번 사태는 전 세계의 개발자와 보안 전문가들에게 자동화된 패키지 관리에 대한 환상적인 신뢰를 즉각 폐기하고, 코드 작성부터 배포까지 이어지는 소프트웨어 개발 수명 주기 전반에 걸쳐 항상 의심하고 검증하는 제로 트러스트 기반의 심층 방어 전략을 채택해야 한다는 엄중한 시대적 경고를 남겼습니다.