뉴스15. 인기 자바 라이브러리 ‘액시오스’ 해킹... 구글, “배후는 北 해킹 그룹 UNC1069”

 

기사 요약: 해커가 npm 계정을 훔쳐서 액시오스를 업데이트하는 척하며, 설치 시 자동으로 실행되는 훅 스크립트가 담긴 가짜 패키지를 몰래 끼워 넣어 정보를 탈취한 사건입니다.

1. 북한 연계 해킹 조직 UNC1069가 액시오스(Axios) 메인 관리자의 npm 계정을 탈취했다. 그리고 해커는 정상적인 보안 검수를 우회하였다. 그리고 악성코드가 삽입된 최신 버전(1.14.1 및 0.30.4)을 공식 레지스트리에 직접 등록하여 공격을 실행했다.
2. 개발자가 오염된 버전을 설치하면 위장 패키지가 즉시 실행되는데, 패키지는 클라우드 접근키와 DB 비밀번호 등 핵심 자격 증명을 훔치고 백도어를 설치하는 기능을 가지고 있다. 공격 직후 설치 흔적을 지우고 메타데이터를 정상으로 위장하는 고도의 은폐 기술이 사용되어 탐지가 어렵다고 한다.
3. npm 보안팀이 해당 패키지를 인지하고 3시간 만에 강제 삭제했고, 전문가들은 시스템 전면 재구축과 모든 API 키의 즉시 교체를 해당 시간대에 업데이트를 진행한 사용자들에게 권고했다.

 

개인 의견: 누구나 고칠 수 있는 소프트웨어를 의심없이 믿고 써도 되는 지에 대한 의구심이 들기 시작했다. 무료 소프트웨어가 편리하지만 이번처럼 한 번 뚫리면 마비될 수 있다는 게 무섭다고 느꼈다.

뉴스 링크: https://www.boannews.com/media/view.asp?idx=142967&page=1&kind=1

 

 

 

<용어 정리>

1. 액시오스 (Axios)

정의: 웹 브라우저나 서버(Node.js)에서 서버와 통신할 때 사용하는 '데이터 배달부'

역할: 예를 들어, 스마트폰 앱에서 "로그인" 버튼을 누르면 서버에 정보를 보내고 결과를 받아와야 하죠? 그 과정에서 데이터를 안전하고 편리하게 주고받도록 돕는 도구.

중요성: 전 세계 개발자들이 가장 많이 쓰는 도구 중 하나

 

2. npm 계정 (Node Package Manager)

정의: 자바스크립트용 '앱스토어' 같은 곳의 관리자 계정.

역할: 개발자들은 필요한 도구(패키지)를 npm이라는 저장소에서 내려받아 사용.

위험성: 이번 사건은 액시오스를 관리하는 사람의 'ID/비밀번호'를 해커가 훔친 것.

 

3. 위장 의존성 패키지 (plain-crypto-js)

정의: 정상적인 프로그램인 척 숨어 있는 '트로이 목마' 같은 가짜 부품.

공격 원리: 액시오스 같은 큰 프로그램은 효율성을 위해 다른 작은 프로그램(의존성 패키지)들을 불러와 사용한다. 해커는 액시오스를 업데이트하면서, 슬쩍 이 가짜 패키지를 "반드시 설치해야 하는 부품"으로 끼워 넣었습니다.

효과: 개발자가 액시오스만 설치해도, 해커가 만든 이 가짜 패키지가 자동으로 함께 설치되어 작동.

 

4. 훅(Hook) 스크립트

정의: 어떤 이벤트가 발생할 때 '낚싯바늘(Hook)처럼 가로채서 실행되는 자동 코드'.

역할: 이번 사고에서는 패키지가 설치되는 그 즉시 실행되도록 설정.

위험성: 사용자가 프로그램을 실행하기도 전에, 설치 과정 중에 이미 해킹 코드가 돌아가기 시작합니다. 이때 서버의 비밀번호를 훔치거나 해커가 들어올 수 있는 뒷문(백도어)을 만드는 파괴적인 작업을 수행한다.