axios NPM 패키지 공급망 공격 발생 — 포스트모템 정리

무슨 일이 있었나

JavaScript 생태계에서 가장 많이 쓰이는 HTTP 클라이언트 라이브러리 중 하나인 axios에서 공급망 공격(supply chain compromise)이 발생했어요. 공급망 공격이라는 게 좀 어렵게 들릴 수 있는데요, 쉽게 말하면 이런 거예요. 우리가 npm install로 설치하는 패키지 자체에 악성 코드가 심어지는 공격이에요. 개발자가 평소처럼 패키지를 설치하거나 업데이트했을 뿐인데, 그 안에 몰래 나쁜 코드가 들어있는 거죠.

axios는 주간 다운로드가 수천만 건에 달하는 초대형 패키지예요. 프론트엔드, 백엔드 가리지 않고 거의 모든 JavaScript/TypeScript 프로젝트에서 쓰인다고 해도 과언이 아니에요. 그래서 이 패키지가 공격당했다는 건, 잠재적으로 엄청나게 많은 프로젝트가 영향을 받을 수 있다는 뜻이에요.

공격은 어떻게 이뤄졌나

axios의 GitHub 이슈에 올라온 포스트모템(사후 분석)에 따르면, 공격자가 NPM 퍼블리시 과정에 개입해서 악성 코드가 포함된 버전을 배포한 것으로 보여요. 공급망 공격의 전형적인 패턴이에요.

이런 공격이 무서운 이유는, 개발자 입장에서는 "신뢰하는 패키지"를 평소처럼 쓴 것뿐인데 피해를 입을 수 있다는 점이에요. 코드 리뷰를 아무리 열심히 해도, node_modules 안에 들어있는 수천 개의 의존성 패키지를 일일이 확인하는 건 현실적으로 불가능하니까요.

이전에도 비슷한 사례들이 있었어요. event-stream 패키지 공격(2018년), ua-parser-js 공격(2021년), colors.js 사건(2022년) 등이 대표적이에요. 그때마다 "NPM 생태계의 보안 취약성"이 화두가 됐지만, 근본적인 해결은 여전히 어려운 상황이에요.

왜 이런 일이 반복되는 걸까

JavaScript/NPM 생태계의 구조적인 문제가 있어요. 첫째, 의존성 트리가 너무 깊어요. 하나의 패키지를 설치하면 수십, 수백 개의 하위 의존성이 딸려오는데, 이 전체 체인을 신뢰해야 하는 구조예요. 둘째, NPM 패키지 퍼블리시 권한 관리가 생각보다 느슨해요. 메인테이너의 NPM 계정이 탈취되거나, CI/CD 토큰이 유출되면 바로 악성 버전이 배포될 수 있거든요.

이 문제에 대한 업계의 대응도 조금씩 진행되고 있어요. NPM은 인기 패키지에 대해 2단계 인증(2FA)을 강제하기 시작했고, Sigstore 기반의 패키지 서명(provenance) 기능도 도입하고 있어요. GitHub의 Dependabot이나 Socket.dev 같은 도구들은 의존성의 이상 행위를 감지하는 역할을 하고요. 하지만 이런 보호 장치들이 있어도 완벽하지는 않다는 걸 이번 사건이 다시 한번 보여준 거예요.

한국 개발자에게 주는 시사점

당장 확인해볼 것들이 있어요. 먼저, 현재 프로젝트에서 사용 중인 axios 버전을 확인하세요. npm ls axios나 yarn why axios 명령어로 어떤 버전이 설치되어 있는지 볼 수 있어요. 포스트모템에서 영향받은 버전이 명시되어 있으니, 해당 버전을 쓰고 있다면 즉시 안전한 버전으로 업데이트해야 해요.

더 근본적으로는, 공급망 보안에 대한 인식을 높일 필요가 있어요. package-lock.json이나 yarn.lock 파일을 반드시 커밋하고, CI에서 npm ci를 사용해서 lock 파일 기준으로만 설치하는 건 기본이에요. 가능하다면 Socket.dev 같은 도구를 CI 파이프라인에 추가해서 의존성 변경 시 자동으로 보안 검사를 하는 것도 추천해요.