npm과 PyPI 해킹으로 암호화폐 지갑 털렸다
오픈소스 패키지 저장소 npm과 PyPI가 해킹당해 개발자들의 암호화폐 지갑이 털리는 사건 발생. dYdX 개발자들이 피해를 입었으며 모든 애플리케이션이 위험에 노출
개발자라면 매일 사용하는 npm과 PyPI. 이 오픈소스 패키지 저장소에 악성 코드가 심어져 암호화폐 지갑 정보를 훔쳐갔다는 충격적인 소식이 전해졌다.
개발자들의 지갑이 털렸다
보안업체 Socket의 연구진은 금요일 발표한 보고서에서 npm과 PyPI 저장소에 게시된 오픈소스 패키지들이 악성 코드에 감염됐다고 밝혔다. 이 코드는 dYdX 개발자들과 백엔드 시스템에서 지갑 인증 정보를 훔쳤으며, 일부 경우에는 기기에 백도어까지 설치했다.
Socket 연구진은 "감염된 npm 버전을 사용하는 모든 애플리케이션이 위험에 처해 있다"며 "직접적인 피해로는 지갑 완전 탈취와 되돌릴 수 없는 암호화폐 도난이 있다"고 경고했다. 공격 범위는 감염된 버전에 의존하는 모든 애플리케이션과 실제 인증 정보로 테스트하는 개발자, 그리고 프로덕션 환경의 최종 사용자까지 포함한다.
오픈소스의 취약점이 드러났다
이번 사건은 현대 소프트웨어 개발의 근간인 오픈소스 생태계의 취약성을 적나라하게 보여준다. 개발자들은 매일 수십, 수백 개의 외부 패키지를 사용하지만, 그 모든 코드를 일일이 검증할 수는 없다. 신뢰할 수 있다고 여겨지는 저장소조차 완벽하게 안전하지 않다는 현실이 드러난 셈이다.
특히 dYdX와 같은 탈중앙화 거래소 개발팀이 타겟이 된 것은 우연이 아니다. 암호화폐 프로젝트들은 높은 가치의 디지털 자산을 다루기 때문에 해커들의 주요 표적이 되고 있다. 한 번의 성공적인 공격으로 수백만 달러 규모의 피해를 입힐 수 있기 때문이다.
한국 개발자들도 안전하지 않다
이번 공격의 파급력은 전 세계적이다. npm과 PyPI는 각각 자바스크립트와 파이썬 개발자들이 가장 널리 사용하는 패키지 저장소다. 국내 핀테크 기업들과 블록체인 스타트업들도 이런 패키지들을 광범위하게 사용하고 있어 피해 범위에서 자유롭지 못하다.
카카오페이나 토스 같은 국내 핀테크 기업들, 그리고 수많은 암호화폐 거래소들이 비슷한 개발 환경을 사용하고 있다는 점을 고려하면, 이번 사건은 단순히 해외 소식이 아니다. 국내 개발팀들도 자신들이 사용하는 패키지의 무결성을 재점검해야 할 시점이다.
기자
관련 기사
ChatGPT 등장 이후 AI 기반 사이버범죄가 폭발적으로 증가하고 있다. 피싱부터 딥페이크까지, 더 빠르고 저렴해진 사기의 시대—우리는 얼마나 준비되어 있는가?
Anthropic의 최강 보안 AI '미토스'가 디스코드 사용자들에게 뚫렸다. 동시에 북한 해커는 AI로 악성코드를 짜고, 모질라는 AI로 271개 취약점을 잡았다. 사이버보안의 새 질서가 형성되고 있다.
미 특수부대원이 베네수엘라 마두로 축출 작전에 직접 참여한 뒤, 기밀 정보를 이용해 예측 시장 폴리마켓에서 40만 달러를 벌어 기소됐다. 예측 시장의 성장과 내부자 거래 규제의 공백을 짚는다.
이란 당국을 사칭한 사기꾼들이 호르무즈 해협 통과 선박에 비트코인·테더로 '통행료'를 요구하고 있다. 실제 이란의 암호화폐 요구와 구분이 어려워 혼란이 가중되고 있다.
ChatGPT 등장 이후 AI 기반 사이버범죄가 폭발적으로 증가하고 있다. 피싱부터 딥페이크까지, 더 빠르고 저렴해진 사기의 시대—우리는 얼마나 준비되어 있는가?
Anthropic의 최강 보안 AI '미토스'가 디스코드 사용자들에게 뚫렸다. 동시에 북한 해커는 AI로 악성코드를 짜고, 모질라는 AI로 271개 취약점을 잡았다. 사이버보안의 새 질서가 형성되고 있다.
미 특수부대원이 베네수엘라 마두로 축출 작전에 직접 참여한 뒤, 기밀 정보를 이용해 예측 시장 폴리마켓에서 40만 달러를 벌어 기소됐다. 예측 시장의 성장과 내부자 거래 규제의 공백을 짚는다.
이란 당국을 사칭한 사기꾼들이 호르무즈 해협 통과 선박에 비트코인·테더로 '통행료'를 요구하고 있다. 실제 이란의 암호화폐 요구와 구분이 어려워 혼란이 가중되고 있다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요