오픈소스 된 악성코드, ‘샤이 훌루드’ 파장 분석

최근 사이버 보안 업계에 충격적인 소식이 전해졌습니다.

팀PCP(TeamPCP)라는 그룹이 자신들의 악성코드인 ‘샤이 훌루드(Shai-Hulud)’의 소스 코드를 GitHub에 공개한 것입니다.

더욱 우려스러운 점은, 독립적인 위협 행위자들이 이미 이 코드를 변형하고 확산시키기 시작했다는 사실입니다.

OX Security는 이 사태를 예의주시하며 최신 동향을 파악하고 있습니다.

샤이 훌루드, 소스 코드 공개의 전말

팀PCP는 단순히 악성코드를 유포하는 것을 넘어, 자신들의 개발 역량까지 오픈소스화하는 전례 없는 행보를 보이고 있습니다.

이번 소스 코드 공개는 마치 해커들의 ‘오픈소스 컨퍼런스’를 방불케 하며, 이는 곧 악성코드 제작 및 유포의 진입 장벽을 낮추는 결과를 초래할 것으로 분석됩니다.

현재 GitHub에는 두 개의 관련 리포지토리가 활동 중이지만, 감염 확산과 함께 그 수가 증가할 것으로 예상됩니다.

실시간으로 새로운 리포지토리를 감시할 수 있는 링크와 함께, GitHub에서 ‘A Gift From TeamPCP’를 검색하면 관련 내용을 확인할 수 있습니다.

흥미로운 점은, 이 리포지토리가 단순한 소스 코드 모음이 아니라, 악성코드 배포 방법을 상세히 안내하는 ‘완전한 매뉴얼’ 역할을 하고 있다는 것입니다.

코드 공개 방식과 숨겨진 의도

소스 코드가 담긴 리포지토리의 커밋(commit) 기록은 노골적인 흔적을 감추려는 시도를 보여줍니다.

모든 커밋이 2099년 1월 1일이라는 미래의 날짜로 기록되어 있으며, 이는 명백한 은폐 기법으로 판단됩니다.

또한, ‘TeamPCP_OSS’와 ‘TeamPCP’라는 핸들 외에는 어떠한 식별 정보도 제공되지 않았습니다.

팀PCP는 단순히 자신들의 발자취를 지우는 것을 넘어, 미래의 시간 속에 숨기려는 대담함을 보이고 있습니다.

하지만 이러한 노력에도 불구하고, 포크(forked)된 버전의 리포지토리에서는 ‘agwagwagwa’라는 계정이 추가 코드를 기여한 정황이 포착되었습니다.

이 계정은 히브리어 두 글자로 이루어진 이름, 앤트로픽(Anthropic)의 시스템 거부 문자열, 그리고 샤이 훌루드 포크와 무관해 보이는 다양한 요소들을 포함하고 있어 의심을 사고 있습니다.

잠재적 연관 계정과 확장되는 위협

현재까지 샤이 훌루드 공개 코드와 잠재적으로 연관이 있다고 추정되는 GitHub 계정은 세 개입니다: ‘agwagwagwa’, ‘headdirt’, ‘tmechen’.

이들이 팀PCP의 멤버인지, 아니면 기회를 포착한 독립적인 행위자인지는 아직 단정하기 어렵습니다.

그러나 이들 모두 면밀한 관찰 대상이 되고 있습니다.

특히 ‘agwagwagwa’ 계정은 FreeBSD 지원을 추가하는 풀 리퀘스트(pull request)를 제출하며 악성코드의 잠재적 도달 범위를 확장하려는 움직임을 보이고 있습니다.

이들이 팀PCP와 연관 있다고 판단하는 근거 중 하나는 바로 ‘고양이’ 테마입니다.

팀PCP의 주된 테마가 고양이이며, ‘agwagwagwa’ 계정 내에는 ‘meow!’라는 이름의 리포지토리가 존재합니다.

이것이 직접적인 증거는 아닐지라도, 매우 의심스러운 정황임은 분명합니다.

또한, 해당 리포지토리에는 앤트로픽의 ‘클로드 코드(Claude Code)’가 프로필을 분석하는 것을 방지하기 위해 설계된 ‘앤트로픽 매직 스트링(Anthropic Magic String)’이 포함되어 있습니다.

이는 AI의 코드 분석을 회피하려는 의도를 명확히 보여줍니다.

‘tmechen’ 계정의 프로필 사진 역시 고양이이며, ‘headdirt’ 계정은 현재 비공개 상태입니다.

기존 공격 패턴과의 연관성 및 한국 시장에 미칠 영향

악성코드의 소스 코드를 분석한 결과, 이전 샤이 훌루드 공격에서 발견되었던 패턴들이 그대로 재확인되었습니다.

여기에는 도난당한 자격 증명을 새로운 GitHub 리포지토리에 업로드하는 행위, 정의된 C2(Command and Control) 서버로 정보를 전송하는 행위, 그리고 암호화폐 지갑, 계정 정보 등 민감한 정보를 탈취하는 행위가 포함됩니다.

더 나아가, 클로드 코드의 설정을 직접적으로 겨냥하여, 클로드 실행 시 악성코드가 실행되도록 하는 훅(hook)을 추가하는 코드까지 발견되었습니다.

이는 팀PCP가 단순한 악성코드 배포를 넘어, 강력한 공격 역량을 공유하고 있다는 것을 의미합니다.

이러한 오픈소스화는 국내 보안 환경에도 직접적인 영향을 미칠 수 있습니다.

국내 IT 기업들은 물론, 금융권, 공공기관 등 다양한 산업 분야에서 사용되는 소프트웨어 공급망에 침투할 위험이 증가합니다.

특히, 개발 인력이 부족하거나 보안 투자 여력이 적은 중소기업들은 이러한 공격에 더욱 취약해질 수 있습니다.

오픈소스로 공개된 악성코드 변종은 기존 보안 솔루션을 우회하거나 탐지를 어렵게 만들 수 있으며, 이는 국내 보안 업계의 긴급한 대응을 요구하고 있습니다.

기존 유사 기술 및 경쟁사 서비스 비교

시장 파급 효과 및 전망

샤이 훌루드 악성코드의 오픈소스화는 사이버 보안 시장에 지각변동을 예고합니다.

이제 누구나 손쉽게 강력한 공격 도구를 손에 넣을 수 있게 되면서, 공격의 빈도와 복잡성은 기하급수적으로 증가할 것입니다.

이는 결국 보안 솔루션 시장의 성장과 함께, 침해 사고 대응 및 복구 서비스 수요의 폭발적인 증가를 가져올 것으로 전망됩니다.

또한, 기업들은 개발 초기 단계부터 보안을 고려하는 시큐어 코딩(Secure Coding) 및 DevSecOps 문화 확산에 더욱 박차를 가할 수밖에 없을 것입니다.

오픈소스로 공개된 악성코드에 대한 분석 및 방어 기술 연구 또한 활발해질 것으로 예상되며, 이는 보안 기술 생태계 전반의 발전을 촉진하는 계기가 될 수도 있습니다.

전문가 통찰 및 한줄평 (Insight)

이번 샤이 훌루드 사태는 단순히 한 그룹의 악성코드가 공개된 것을 넘어, 악성코드 개발 패러다임의 전환을 시사합니다.

개발 역량 자체가 상품화되고 공유되는 시대가 온 것입니다.

이는 곧 보안 위협의 민주화를 의미하며, 모든 기업과 개인은 이전과는 차원이 다른 보안 경각심을 가져야 합니다.

‘AI가 쫓는 자’와 ‘AI를 이용하는 자’ 간의 보이지 않는 싸움이 더욱 치열해질 것입니다.

앞으로는 개인의 평판 관리(Reputation Management)와 소스 코드 관리(Source Code Management)의 중요성이 더욱 강조될 것이며, 개발자들은 자신의 코드와 계정을 철저히 보호해야 합니다.

자주 묻는 질문 (FAQ)

Q: 샤이 훌루드 악성코드 오픈소스화가 국내 IT 업계에 미치는 영향은 무엇인가?

A: 국내 IT 기업들은 소프트웨어 공급망 공격의 위험이 증가하며, 중소기업의 경우 더욱 취약해질 수 있습니다.

기존 보안 솔루션이 우회될 가능성이 있어, 긴급한 대응과 보안 강화가 요구됩니다.

Q: GitHub 계정의 고양이 테마나 미래 날짜 커밋이 정확히 무엇을 의미하는가?

A: 이는 공격자들이 자신들의 신원을 숨기고, AI와 보안 분석 시스템의 탐지를 회피하려는 고의적인 시도로 해석됩니다.

고양이 테마는 팀의 상징일 수 있으며, 미래 날짜는 활동 기록을 조작하려는 기법입니다.

Q: 이러한 악성코드 공개가 개인 개발자에게 미치는 영향은?

A: 개인 개발자는 자신의 GitHub 계정 보안을 더욱 철저히 해야 하며, 악성코드 변종에 의한 공격에 대한 경각심을 높여야 합니다.

또한, 사용하는 라이브러리나 프레임워크의 보안 취약점을 항상 점검해야 합니다.

Q: 앞으로 이러한 오픈소스 악성코드 위협에 어떻게 대비해야 하는가?

A: 기업은 DevSecOps 문화 도입, 시큐어 코딩 강화, 지속적인 보안 감사 및 모니터링 체계를 구축해야 합니다.

개인은 MFA(다단계 인증) 사용, 강력한 비밀번호 설정, 의심스러운 링크 및 파일 클릭 금지 등 기본적인 보안 수칙을 철저히 준수해야 합니다.

출처: https://www.ox.security/blog/shai-hulud-open-source-malware-github/