뉴스37. [긴급] 체크막스 젠킨스 플러그인 해킹… 공급망 공격 또 터졌다

기사 요약:

글로벌 보안 기업 체크막스의 젠킨스 보안 테스트 플러그인이 해킹되어 악성 코드가 포함된 버전이 공식 마켓플레이스에 등록됐다. 이 공격은 개발 도구와 오픈소스 생태계를 노리는 공급망 공격이 더욱 정교하고 대담해지고 있음을 보여준다.

 

1. 공격자 그룹 'TeamPCP'가 체크막스의 깃허브 접근 권한을 탈취한 뒤, 악성 코드가 삽입된 젠킨스 AST 플러그인(버전 2026.5.09)을 공식 마켓플레이스에 배포했다.

 

2. 보안 연구자들에 따르면 공격자는 앞선 '트리비(Trivy)' 공격 당시 확보한 인증정보를 활용해 체크막스 환경에 침투했다. 공격자는 약 한 달간 내부 권한을 유지하며 깃허브, 도커, VS코드 등 다양한 개발 환경에 악성 버전을 배포하여 개발자의 인증 토큰과 클라우드 접근 키 등을 수집하려 시도했다.

 

3. 체크막스는 해당 사실을 공표하고 신규 안전 버전을 배포하며 설치 기관에 모든 인증정보의 즉시 교체를 권고했다.

 

개인 의견:

보안 솔루션을 제공하는 기업이 정작 자신들의 비밀키 관리 소홀로 해킹을 당하고 조롱까지 받았다는 내용과 같은 기사들을 종종 접하는 것 같다. 담당자들은 어떻게 본인들의 비밀키 관리를 소홀히 하는 걸까라는 생각이 든다. 하지만, 현업에서 일을 해보지 않았기에 그들만의 애로사항이 있지 않을까라고 생각하기로 했다. 많은 사람들이 쓰는 프로그램에 악성코드를 넣어 배포하게 만드는 것이 집요하다고 느꼈으며, 사용자 입장에서 무결성 검증을 하게 만드는 그들이 나중에 무결성 검증하는 프로그램에 악성코드를 배포해서 이중으로 공격을 유도하면 대응을 어떻게 해야할라는 생각도 해봤다.

 

<용어 정리>

• 젠킨스(Jenkins): 지속적 통합 및 배포(CI/CD)를 지원하는 오픈소스 자동화 서버로, 전 세계 많은 개발 조직이 코드 빌드와 테스트에 사용했다.
• 보안 테스트 플러그인: 젠킨스와 같은 자동화된 소프트웨어 개발 환경(CI/CD 파이프라인)에 추가하여, 개발 중인 코드나 프로그램의 보안 취약점을 자동으로 점검해 주는 확장 도구를 말한다.
• CI/CD: 지속적 통합(Continuous Integration)과 지속적 배포(Continuous Deployment)의 약자로, 개발부터 배포까지의 과정을 자동화하는 파이프라인을 의미했다.
• CI (Continuous Integration, 지속적 통합): 여러 명의 개발자가 각자 수정한 코드를 하나의 저장소(GitHub 등)에 합칠 때마다, 젠킨스가 자동으로 빌드하고 테스트를 수행하는 과정입니다. 코드가 깨지지 않았는지 실시간으로 확인합니다.
• CD (Continuous Delivery/Deployment, 지속적 제공 및 배포): CI를 통과한 깨끗한 코드를 실제 서비스 서버나 테스트 환경에 자동으로 전송(배포)하는 과정입니다.
• AST(Application Security Testing): 애플리케이션의 보안 취약점을 찾아내기 위해 수행하는 테스트 도구를 의미했다.
• 공급망 공격(Supply Chain Attack): 소프트웨어 개발사의 저장소나 배포망을 해킹하여 정상적인 제품에 악성 코드를 심고, 이를 사용하는 고객사들을 한꺼번에 감염시키는 공격 방식이다.
• 컨테이너 이미지: 애플리케이션을 실행하는 데 필요한 모든 것(코드, 런타임, 라이브러리, 설정 파일 등)을 하나로 압축해 놓은 '불변의 실행 패키지’이다.
• TeamPCP: 개발자 생태계를 전문적으로 노리는 것으로 알려진 글로벌 해커 그룹이다.

 

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=206692