개발자의 도구가 무기가 됐다

개발자가 매일 여는 코드 편집기 플러그인 하나가 GitHub 전체를 뚫었다.

Microsoft 산하 세계 최대 코드 호스팅 플랫폼 GitHub이 내부 코드 저장소 3,800개를 탈취당했다고 공식 확인했다. 해킹 경로는 정교한 제로데이 취약점이 아니었다. 직원 한 명의 기기에 설치된 VS Code 확장 프로그램, 즉 개발자라면 누구나 쓰는 코드 편집기의 플러그인이었다.

어떻게 뚫렸나

GitHub은 공식 발표에서 "악성 코드가 심어진 VS Code 확장 프로그램이 포함된 직원 기기 침해를 탐지하고 차단했다"고 밝혔다. 어떤 확장 프로그램인지는 공개하지 않았다. 현재까지 "GitHub 내부 저장소 외부에 보관된 고객 정보에 대한 피해 증거는 없다"는 입장이지만, 조사는 여전히 진행 중이다.

해킹 그룹 TeamPCP가 사이버범죄 포럼에서 탈취 데이터를 판매하고 있다고 보안 매체들이 보도했다. 이 그룹은 이전에도 유럽연합 집행위원회 클라우드 스토리지에서 90기가바이트 이상의 데이터를 훔친 전력이 있다. 당시에도 수법은 비슷했다. 취약점 스캐닝 도구 Trivy를 먼저 침해한 뒤, 그 하위 사용자들에게 정보 탈취 악성코드를 배포하는 방식이었다.

비슷한 시기, OpenAI도 별개의 유사한 공격을 받았다. 웹 개발자들이 쓰는 플랫폼 Tanstack이 침해당해 악성 업데이트가 배포됐고, 해커들은 이를 통해 사용자의 비밀번호와 토큰을 탈취했다.

왜 '개발자 도구'가 표적인가

광고

광고주 모집

[email protected]

광고

이 공격들의 공통점은 하나다. 개발자가 신뢰하는 도구를 무기로 삼는다.

VS Code 마켓플레이스에는 현재 5만 개 이상의 확장 프로그램이 등록되어 있다. 개발자들은 생산성을 높이기 위해 수십 개의 플러그인을 설치하고, 업데이트를 거의 자동으로 수락한다. 보안 검토는 사후적이거나 생략된다. 이 신뢰의 관성이 공격자들이 노리는 틈이다.

공급망 공격(Supply Chain Attack)이 위험한 이유는 배율 효과에 있다. 직원 한 명의 기기를 감염시키는 것이 아니라, 수만 명의 개발자가 동시에 쓰는 도구를 오염시키면 단 한 번의 공격으로 수만 개의 시스템에 접근할 수 있다. GitHub의 경우, 내부 직원 한 명을 통해 전체 내부 저장소 3,800개에 접근이 가능했다.

누구의 문제인가

이해관계자마다 이 사건이 다르게 읽힌다.

개발자 커뮤니티 입장에서는 불편한 질문이 생긴다. 편의를 위해 검증하지 않고 설치한 수십 개의 확장 프로그램 중 몇 개나 실제로 안전한가? VS Code 확장 프로그램은 설치 시 사용자 파일 시스템, 네트워크, 환경 변수에 접근할 수 있다. 이 권한 범위는 사실상 운영체제 수준에 가깝다.

기업 보안팀 입장에서는 더 근본적인 문제가 드러난다. 개발자 워크스테이션은 오랫동안 보안의 사각지대였다. 서버와 네트워크 보안에는 수억 원을 투자하면서, 코드를 실제로 작성하는 기기에 대한 통제는 상대적으로 느슨한 경우가 많다. 개발자의 기기는 소스코드, 내부 API 키, 클라우드 자격증명이 집중된 고가치 표적이다.

Microsoft와 GitHub 입장에서는 플랫폼 신뢰의 문제다. VS Code 확장 프로그램 생태계는 Microsoft가 관리하지만, 모든 확장을 사전에 완전히 검증하는 것은 현실적으로 불가능에 가깝다. 이번 사건이 확장 프로그램 심사 기준 강화로 이어질지, 아니면 개발자 편의와의 균형 속에서 현행 수준이 유지될지는 미지수다.

국내 개발자 생태계도 무관하지 않다. 네이버, 카카오, 크래프톤 등 국내 주요 테크 기업의 개발자들도 VS Code와 GitHub을 일상적으로 사용한다. 이번 사건이 국내 기업들의 개발자 보안 정책 재검토로 이어질 가능성이 있다.