npm과 PyPI 해킹으로 암호화폐 지갑 털렸다

개발자라면 매일 사용하는 npm과 PyPI. 이 오픈소스 패키지 저장소에 악성 코드가 심어져 암호화폐 지갑 정보를 훔쳐갔다는 충격적인 소식이 전해졌다.

개발자들의 지갑이 털렸다

보안업체 Socket의 연구진은 금요일 발표한 보고서에서 npm과 PyPI 저장소에 게시된 오픈소스 패키지들이 악성 코드에 감염됐다고 밝혔다. 이 코드는 dYdX 개발자들과 백엔드 시스템에서 지갑 인증 정보를 훔쳤으며, 일부 경우에는 기기에 백도어까지 설치했다.

Socket 연구진은 "감염된 npm 버전을 사용하는 모든 애플리케이션이 위험에 처해 있다"며 "직접적인 피해로는 지갑 완전 탈취와 되돌릴 수 없는 암호화폐 도난이 있다"고 경고했다. 공격 범위는 감염된 버전에 의존하는 모든 애플리케이션과 실제 인증 정보로 테스트하는 개발자, 그리고 프로덕션 환경의 최종 사용자까지 포함한다.

오픈소스의 취약점이 드러났다

이번 사건은 현대 소프트웨어 개발의 근간인 오픈소스 생태계의 취약성을 적나라하게 보여준다. 개발자들은 매일 수십, 수백 개의 외부 패키지를 사용하지만, 그 모든 코드를 일일이 검증할 수는 없다. 신뢰할 수 있다고 여겨지는 저장소조차 완벽하게 안전하지 않다는 현실이 드러난 셈이다.

특히 dYdX와 같은 탈중앙화 거래소 개발팀이 타겟이 된 것은 우연이 아니다. 암호화폐 프로젝트들은 높은 가치의 디지털 자산을 다루기 때문에 해커들의 주요 표적이 되고 있다. 한 번의 성공적인 공격으로 수백만 달러 규모의 피해를 입힐 수 있기 때문이다.

한국 개발자들도 안전하지 않다

이번 공격의 파급력은 전 세계적이다. npm과 PyPI는 각각 자바스크립트와 파이썬 개발자들이 가장 널리 사용하는 패키지 저장소다. 국내 핀테크 기업들과 블록체인 스타트업들도 이런 패키지들을 광범위하게 사용하고 있어 피해 범위에서 자유롭지 못하다.

카카오페이나 토스 같은 국내 핀테크 기업들, 그리고 수많은 암호화폐 거래소들이 비슷한 개발 환경을 사용하고 있다는 점을 고려하면, 이번 사건은 단순히 해외 소식이 아니다. 국내 개발팀들도 자신들이 사용하는 패키지의 무결성을 재점검해야 할 시점이다.