숫자
2026년 3월 31일, 액시오스(Axios)의 최신 버전인 1.14.1과 이전 버전인 0.30.4가 공급망 공격에 악용되며 심각한 보안 사고가 발생했다. 이 공격은 코드 자체를 타겟으로 하지 않고, 의존성 체인을 노린 방식으로 진행되었다. 공격자는 액시오스 유지관리자의 엔피엠 계정을 탈취하여 악성 패키지를 삽입한 것으로 확인되었다.
문제의 핵심은 악성 패키지인 ‘플레인-크립토-제이에스’ 4.2.1이 포함된 점이다. 이 패키지는 postinstall 스크립트를 포함하고 있어, 공격자는 맥OS, 윈도우, 리눅스 환경을 모두 대상으로 하는 원격 접근 트로이목마 드로퍼를 실행했다. 특히, 맥OS에서는 애플스크립트를 이용해 악성 실행 파일을 다운로드하고 실행했으며, 윈도우에서는 파워셸과 브이비스크립트를 사용한 공격이 수행되었다. 리눅스 환경에서는 파이썬 기반의 원격제어 악성코드가 다운로드되어 실행되었다.
공격자는 흔적을 최소화하기 위한 작업을 자동으로 수행하도록 설계하여, 피해를 더욱 확대시켰다. 현재 문제의 액시오스 버전과 악성 패키지는 엔피엠에서 삭제된 상태지만, 이미 1억 회 이상의 다운로드 수를 기록한 액시오스의 사용자들은 큰 위험에 처해 있다. 이 사건은 오픈소스 의존도가 높은 Web3 및 소프트웨어 산업 전반에 공급망 보안의 중요성을 다시 부각시키는 계기로 평가된다.
페로스 아부카디예는 이번 사건을 “전형적인 설치형 악성코드”라고 설명하며, 공급망 공격이 신뢰된 소프트웨어나 라이브러리를 통해 악성코드를 유포하는 방식임을 강조했다. 그는 “단일 패키지의 침해가 광범위한 생태계로 확산될 수 있다는 점에서, 개발 환경 전반의 보안 관리 체계 강화가 불가피해 보인다”고 덧붙였다.
이번 공격은 소프트웨어 개발자와 기업들에게 경각심을 불러일으키고 있으며, 보안 관리 체계의 강화가 필요하다는 목소리가 커지고 있다. 사용자들은 신뢰할 수 있는 소프트웨어를 선택하고, 정기적으로 업데이트를 수행하는 것이 중요하다. 또한, 개발자들은 의존성 관리에 더욱 신경을 써야 할 시점이다.
현재까지의 조사 결과에 따르면, 공격자는 18시간 이내에 정상 패키지 버전 배포 후 악성 코드가 포함된 버전을 등록했으며, 두 개의 액시오스 버전이 동시에 공격에 악용된 시간은 40시간에 달했다. 이러한 빠른 시간 내에 이루어진 공격은 소프트웨어 생태계의 취약성을 다시 한번 드러내고 있다.
이 사건은 단순한 보안 사고를 넘어, 오픈소스 소프트웨어의 신뢰성에 대한 의문을 제기하고 있다. 앞으로 이러한 공격을 방지하기 위한 기술적, 관리적 대응이 필요할 것으로 보인다. 세부 사항은 아직 확인되지 않았다.
