도입

2026년 4월 하순, 소프트웨어 개발 생태계는 공급망 보안 위협의 근본적인 패러다임이 변화하는 중대한 사태를 맞이했습니다. 보안 연구 기관인 소켓(Socket)과 스텝시큐리티(StepSecurity)가 독립적으로 발견하고 분석한 이 공격은 'CanisterWorm' 또는 'CanisterSprawl'이라는 이름으로 명명되었습니다. 이 악성코드는 단순한 정보 탈취를 넘어 스스로 증식하는 웜(Worm)의 형태를 띠고 있으며, 자바스크립트 생태계의 핵심인 노드 패키지 매니저(NPM) 레지스트리를 통해 전파되었습니다. 특히 이번 공격은 무작위 다수를 노리는 범용 패키지가 아니라, 나마스텍스 랩스(Namastex Labs)의 인공지능 에이전트 코딩 도구인 오토매직 지니(@automagik/genie)와 임베디드 데이터베이스 서버인 피지서브(pgserve) 등 고도로 특화된 개발자 도구를 표적으로 삼았습니다. 이는 위협 행위자가 막대한 클라우드 자산과 접근 권한을 다루는 핵심 엔지니어링 환경을 선별적으로 침투하고 있음을 명확히 시사합니다. 과거의 단선적인 악성 패키지 유포 방식과 달리, CanisterWorm은 피해자의 시스템을 새로운 감염의 숙주로 삼아 생태계 전반으로 악성 코드를 기하급수적으로 확산시키는 치명적인 자율 증식 능력을 보여주었습니다.

배경

이번 CanisterWorm 사태의 파괴력을 온전히 이해하기 위해서는 2026년 3월부터 대규모 공급망 공격을 주도해 온 위협 행위자 그룹 'TeamPCP'의 이전 활동 궤적을 심층적으로 분석해야 합니다. 2026년 3월 19일, TeamPCP는 보안 기업 아쿠아 시큐리티(Aqua Security)의 서비스 계정을 탈취하여, 널리 신뢰받는 취약점 스캐너인 트리비(Trivy)의 일흔여섯 개 버전 태그에 악성 코드를 강제로 푸시하며 최초의 대규모 공격을 개시했습니다. 수많은 기업의 지속적 통합 및 배포(CI/CD) 파이프라인이 보안 점검을 위해 트리비를 필수적으로 실행한다는 점을 악용한 이 공격은, 인프라를 보호해야 할 보안 도구를 오히려 침투의 무기로 탈바꿈시킨 충격적인 사건이었습니다.

트리비 공격으로 확보한 막대한 권한을 바탕으로 TeamPCP는 연이어 다른 핵심 개발 생태계로 측면 이동을 감행했습니다. 3월 하순에는 체크막스(Checkmarx)의 인프라스트럭처 애즈 코드(IaC) 스캐너인 KICS를 장악했으며, 파이썬 생태계(PyPI)에서는 월간 다운로드 수가 구천오백만 회에 달하는 인공지능 프록시 라이브러리 라이트엘엘엠(LiteLLM)을 타격했습니다. 특히 텔닉스(Telnyx) 파이썬 소프트웨어 개발 키트(SDK)를 공격할 때는 정상적인 오디오 파일 내부에 암호화된 악성 페이로드를 숨기는 WAV 스테가노그래피(Steganography) 기법까지 동원하여 네트워크 필터링을 우회하는 고도화된 전술을 선보였습니다. 팰로앨토 네트웍스의 유닛 42(Unit 42)와 여러 보안 커뮤니티의 분석에 따르면, 이 일련의 공격으로 전 세계 50만 대 이상의 머신이 감염되었으며 300기가바이트 이상의 막대한 기업 기밀 데이터와 자격 증명이 유출된 것으로 추정됩니다. 이번 4월 말 NPM 생태계에서 발생한 CanisterWorm 공격은 바로 이러한 TeamPCP의 정교화된 다중 에코시스템 장악 캠페인의 자동화된 연장선상에 있습니다.

핵심 분석

CanisterWorm 공격의 기술적 아키텍처는 NPM 설치 수명 주기의 자동화 기능을 교묘하게 악용하는 데서 출발합니다. 공격자는 4월 21일을 기점으로 pgserve 패키지의 1.1.11부터 1.1.14 버전, 그리고 @automagik/genie 패키지의 4.260421.33부터 4.260421.40 버전에 악성 코드를 주입했습니다. 개발자나 자동화된 빌드 서버가 이 감염된 버전을 설치하는 순간, 패키지 내부에 숨겨진 postinstall 훅(Hook)이 발동하여 사용자 개입 없이 1,143줄에 달하는 방대한 자격 증명 수집 스크립트가 백그라운드에서 실행됩니다. 이 악성 스크립트는 피해 시스템의 환경 변수와 로컬 설정 파일들을 샅샅이 뒤져 아마존 웹 서비스(AWS), 구글 클라우드 플랫폼(GCP), 마이크로소프트 애저(Azure) 등 주요 클라우드 제공업체의 접근 키를 탈취합니다. 또한 도커(Docker) 및 쿠버네티스(Kubernetes) 클러스터 설정, 보안 셸(SSH) 키, 각종 데이터베이스 비밀번호는 물론 대형 언어 모델(LLM) 플랫폼의 API 인증 토큰까지 무차별적으로 수집합니다.

기업의 핵심 인프라 자격 증명을 수집하는 것에 그치지 않고, 이 페이로드는 크로미움(Chromium) 기반 웹 브라우저와 파이어폭스의 사용자 프로필을 분석하여 저장된 비밀번호를 추출하며, 메타마스크(MetaMask), 팬텀(Phantom), 솔라나(Solana) 등 로컬에 설치된 암호화폐 지갑 데이터까지 표적으로 삼습니다. 수집된 방대한 데이터는 하이브리드 암호화 방식을 통해 철저히 보호됩니다. 악성 코드는 실행 시 무작위의 AES-256 세션 키를 생성하여 탈취한 데이터를 암호화한 뒤, 패키지에 동봉된 공격자의 RSA-4096 공개 키로 해당 세션 키를 다시 암호화합니다. 이렇게 다중 암호화된 데이터는 두 가지 독립적인 경로로 유출됩니다. 하나는 전통적인 HTTPS 웹훅 방식이며, 다른 하나는 인터넷 컴퓨터 프로토콜(ICP) 캐니스터(Canister)로 전송됩니다. 블록체인 기반의 분산 컴퓨팅 노드인 ICP 캐니스터는 도메인 압류나 사법 기관의 서버 압수수색이 원천적으로 불가능한 '데드 드롭(Dead-drop)' 형태의 명령 제어(C2) 서버 역할을 수행하여 공격 인프라의 영속성을 보장합니다.

이 악성코드를 단순한 정보 탈취 트로이 목마를 넘어선 재앙적인 수준의 위협으로 만드는 핵심 요소는 바로 자가 증식(Worm) 엔진입니다. 악성 스크립트는 피해자의 머신에서 유효한 NPM 배포 토큰을 발견하면, 해당 개발자가 수정 및 배포 권한을 가진 모든 패키지 목록을 레지스트리에서 조회합니다. 이후 단 몇 초 만에 피해자의 전체 패키지들의 패치 버전을 강제로 올리고, 악성 스크립트와 공개 키를 주입한 뒤, postinstall 훅이 작동하도록 설정 파일을 조작하여 NPM 레지스트리에 새로운 악성 버전을 자동 배포합니다. 더욱 충격적인 점은 이 웜이 크로스 에코시스템(Cross-Ecosystem) 공격 능력까지 갖추고 있다는 것입니다. 시스템에서 PyPI(파이썬 패키지 인덱스) 자격 증명이 발견될 경우, 파이썬 인터프리터가 시작될 때마다 자동으로 실행되는 악성 .pth 파일을 동적으로 생성하고 Twine 유틸리티를 통해 파이썬 생태계로 악성 패키지를 업로드하여 다른 프로그래밍 언어 환경으로까지 감염을 확산시킵니다.

산업적 파급력

CanisterWorm 사태는 기존 소프트웨어 공급망의 위협 모델을 선형적 피해에서 기하급수적 재난으로 완전히 탈바꿈시켰습니다. 전통적인 제3자 위험 관리는 특정 패키지가 감염되었을 때 이를 다운로드한 하위 사용자들만이 피해를 입는 단방향 구조를 가정했습니다. 하지만 자율 증식 능력을 갖춘 CanisterWorm은 단 한 명의 오픈소스 메인테이너만 감염시켜도 그가 관리하는 수십 개의 정상적인 패키지들을 일거에 무기화하며, 이를 설치한 수천 명의 다른 개발자들을 다시 숙주로 만들어 무한 연쇄 감염을 유발합니다. 기존의 소프트웨어 구성 분석(SCA) 도구들은 이처럼 정상적이고 인증된 관리자의 계정을 통해 합법적인 서명으로 배포되는 자가 증식형 악성 코드를 사전에 차단하는 데 구조적인 한계를 노출하고 있습니다.

특히 이번 공격이 오토매직 지니나 라이트엘엘엠과 같은 인공지능 개발 도구와 미들웨어를 집중적으로 노렸다는 점은 현대 기술 스택의 가장 취약한 고리를 정확히 타격한 것입니다. 전 세계 수많은 기업들이 생성형 인공지능을 자사 서비스에 통합하기 위해 경쟁하는 상황에서, 여러 대형 언어 모델 공급자의 API 연결을 중앙에서 중개하는 라이브러리들은 엄청난 권한이 집중된 핵심 노드가 되었습니다. 이러한 도구들은 막대한 비용이 청구되는 상용 인공지능 모델의 API 키와 클라우드 인프라 접근 권한을 필수적으로 요구하기 때문에, 공격자에게는 단 한 번의 침투로 기업의 가장 민감하고 값비싼 자산을 통째로 장악할 수 있는 매력적인 표적이 되었습니다.

향후 전망

앞으로 사이버 보안 업계는 블록체인 인프라를 활용한 탈중앙화된 명령 제어(C2) 체계가 악성코드 생태계의 새로운 표준으로 자리 잡는 현상을 목격하게 될 것입니다. 전통적인 위협 인텔리전스 방어망은 악성 인터넷 프로토콜(IP) 주소나 도메인을 식별하여 방화벽에서 차단하는 방식에 의존해 왔습니다. 그러나 인터넷 컴퓨터 프로토콜(ICP) 캐니스터와 같이 사법권이 미치지 못하는 분산형 블록체인 노드를 데이터 유출의 종착지로 사용할 경우, 기존의 정적 지표(IOC) 차단 방식은 완전히 무력화됩니다. 결과적으로 보안 조직들은 엔드포인트 단에서 발생하는 비정상적인 프로세스 실행 징후와 네트워크 행위를 실시간으로 탐지하는 동적 분석 체계로 방어의 무게 중심을 시급히 옮겨야 할 것입니다.

또한, NPM 및 PyPI와 같은 글로벌 패키지 레지스트리들은 전례 없는 보안 아키텍처 개편의 압박에 직면할 것입니다. 이번 사태를 통해 한 번 발급되면 장기간 유지되는 영구적인 접근 토큰이 생태계 전체를 붕괴시킬 수 있는 뇌관임이 입증되었습니다. 플랫폼 유지보수자들은 기존의 비밀번호나 단순 토큰 기반 인증을 전면 폐지하고, 발급 후 단시간 내에 만료되는 단기(Ephemeral) 자격 증명 시스템과 오픈아이디 커넥트(OIDC) 기반의 권한 위임, 그리고 배포되는 모든 코드에 대한 하드웨어 기반 암호화 서명 의무화 도입을 가속할 것으로 전망됩니다.

결론

CanisterWorm으로 촉발된 연쇄적인 공급망 붕괴 사태는 공격자들이 현대 소프트웨어 개발 수명 주기의 복잡한 의존성 사슬을 완벽하게 이해하고 있으며, 우리가 가장 신뢰하는 보안 및 개발 도구 자체를 파괴적인 무기로 역이용하고 있음을 명백히 경고하고 있습니다. 이 기하급수적인 위협으로부터 조직의 자산을 방어하기 위해 엔지니어링 팀은 즉시 패키지 매니저의 자동 스크립트 실행 기능을 비활성화(npm config set ignore-scripts true)하여 설치 단계에서의 임의 코드 실행을 원천 차단해야 합니다. 나아가 유출 가능성이 있는 모든 클라우드 및 소스코드 저장소 자격 증명을 즉각 교체하고, 외부 라이브러리 도입 시 암호화 해시에 기반한 엄격한 의존성 고정을 적용하여 검증되지 않은 코드가 프로덕션 환경에 진입하는 것을 철저히 통제해야만 합니다.