반응형
개발도구 공급망을 통한 연쇄적 사이버 공격 주의 권고
개요 및 배경
최근 개발 및 보안 환경에서 널리 사용되는 오픈소스 보안 스캐너인 Trivy의 공급망이 침해되는 심각한 사고가 발생했습니다. 이로 인해 CI/CD 환경의 자격증명이 탈취되고, 이를 활용한 연쇄적인 공급망 공격이 이어지고 있어 각별한 주의가 필요합니다.
- 탈취된 토큰을 기반으로 npm, PyPI, GitHub Actions 등 다양한 소프트웨어 생태계로 악성코드가 확산되고 있습니다.
- SSH 키, 클라우드 인증정보(AWS, GCP, Azure), 암호화폐 지갑 정보 등 민감한 데이터가 대량으로 유출될 위험이 있습니다.
- 이번 사고와 관련된 취약점은 CVE-2026-33634(CVSS 9.4, Critical)로 분류되어 글로벌 차원의 대응이 진행 중입니다.
공격 방식 및 특징
공격자는 Trivy의 CI/CD 자격증명을 탈취한 후 악성 버전을 배포했습니다. 이 악성 버전은 실행 과정에서 시스템의 환경변수와 메모리 내 시크릿 정보를 수집하여 외부로 유출합니다.
- 감염된 시스템에는 pgmon 또는 sysmon 백도어를 설치하여 원격 제어를 유지합니다.
- 정상적인 스캔 결과를 출력하는 등 정상 동작으로 위장하여 탐지를 회피하는 치밀함을 보입니다.
- 데이터 유출이 실패할 경우 GitHub 저장소를 우회 경로로 활용하기도 합니다.
우리 시스템은 안전할까? 감염 징후 확인법
아래 경로와 서비스 등록 여부를 점검하여 감염 여부를 확인하시기 바랍니다.
파일 시스템 점검:
~/.local/share/pgmon/, ~/.config/sysmon/ 경로 내 수상한 파일 확인
/tmp/pglog, /tmp/.pg_state 생성 여부 확인
~/.local/share/pgmon/, ~/.config/sysmon/ 경로 내 수상한 파일 확인
/tmp/pglog, /tmp/.pg_state 생성 여부 확인
- 서비스 점검: pgmon.service, sysmon.service 등 생소한 systemd 서비스 등록 여부
- 네트워크 통신: scan.aquasecurity[.]org, checkmarx[.]zone 등 관련 C2 서버와의 통신 기록
- CI/CD 이력: 특정 기간 내 trivy-action 실행 이력이나 Docker 이미지(aquasec/trivy) pull 기록 확인
영향을 받는 소프트웨어 목록
| 대상 | 생태계 | 영향 버전 |
|---|---|---|
| Trivy (Binary/Action/Docker) | GitHub / Docker Hub | v0.69.4 |
| npm 패키지 (64개 이상) | npm | CanisterWorm 관련 |
| KICS/AST GitHub Actions | OpenVSX / GitHub | ast-results 2.53.0 등 |
| litellm | PyPI | 1.82.7, 1.82.8 |
| telnyx | PyPI | 4.87.1, 4.87.2 |
대응 방안 및 신고 안내
침해 정황이 확인된다면 즉시 관련 자격증명을 폐기하고 아래 기관에 신고해야 합니다.
- 자체 점검 후 신고: 침해 정황 확인 시 보호나라 누리집을 통해 즉시 신고해 주세요.
- 신고처: KISA 인터넷 보호나라&KrCERT 홈페이지 (www.boho.or.kr)
- 문의: 한국인터넷진흥원 국번없이 118
반응형
'콩's IT Security' 카테고리의 다른 글
| 🛡️ 2026년 4월 6일 IT 보안 뉴스 (0) | 2026.04.06 |
|---|---|
| 🛡️ 2026년 4월 3일 IT 보안 뉴스 (0) | 2026.04.03 |
| 🛡️ 2026년 4월 2일 IT 보안 뉴스 (0) | 2026.04.02 |
| 🛡️ 2026년 4월 1일 IT 보안 뉴스 (0) | 2026.04.01 |
| 🛡️ 2026년 3월 31일 IT 보안 뉴스 (0) | 2026.03.31 |
