Microsoft GitHub 저장소 73개를 겨냥한 Miasma 웜의 공격이 확인되었습니다. 이 웜은 오픈소스 신뢰 모델과 AI 코딩 도구를 악용하며, 공급망 보안에 대한 경각심을 높이고 있습니다. 국내 IT 업계에도 보안 강화 노력이 필요합니다.
전문가 통찰 및 한줄평 (Insight)
“공급망 공격의 진화는 멈추지 않는다.
Miasma 웜의 이번 공격은 오픈소스 생태계의 신뢰 모델을 교묘하게 파고드는 새로운 유형의 위협을 경고한다.”
소프트웨어 공급망 공격의 끊임없는 진화 속에서, 최근 Microsoft의 GitHub 저장소 73개가 ‘Miasma’라는 자가 복제 웜에 감염되는 사건이 발생했습니다.
이는 Azure, Azure-Samples, Microsoft, MicrosoftDocs 등 주요 조직의 저장소를 포함하며, GitHub 측에서 해당 저장소에 대한 접근을 즉시 차단하는 조치를 취했습니다.
이 사건은 오픈소스 생태계의 근본적인 신뢰 모델에 대한 심각한 취약점을 다시 한번 드러내며, 개발자 커뮤니티에 큰 충격을 안겨주고 있습니다.
핵심 이슈 및 배경
Miasma 웜 공격은 특히 ‘durabletask’라는 PyPI 패키지의 재감염으로 인해 주목받고 있습니다.
불과 한 달 전, TeamPCP에 의해 리눅스 시스템에서 정보 탈취를 목적으로 감염되었던 이 패키지가 다시금 공격 대상이 된 것입니다.
보안 연구원 Paul McCarty(6mile)는 “durabletask’를 중심으로 한 Durable Task 생태계의 .NET, Go, Java, JS, MSSQL 구현체들이 모두 영향을 받았다”고 지적하며, “지난 5월에 해당 저장소의 접근 권한을 가진 주체가 완전히 권한을 상실하지 않았을 가능성이 높다”고 분석했습니다.
이는 단순히 일회성 사고가 아닌, 지속적이고 계획적인 공격의 가능성을 시사합니다.
Miasma 웜은 지난 5월 중순 TeamPCP가 공개했던 Mini Shai-Hulud 웜의 변종으로 추정됩니다.
이 웜은 지속적으로 진화하며 감염 범위를 확장하고 있으며, 공격자들은 탈취한 비밀 정보를 포함하는 새로운 공개 저장소에 ‘Miasma: The Spreading Blight’ 또는 ‘Hades – The End for the Damned’와 같은 다양한 설명을 사용하고 있습니다.
현재 ‘Hades’라는 설명을 가진 저장소 13개와 다른 세 가지 패턴의 설명이 포함된 82개 이상의 저장소가 확인되었습니다.
더욱이 Miasma 웜은 npm 레지스트리를 우회하는 공격 방식도 사용하고 있습니다.
공격자들은 ‘icflorescu/mantine-datatable’ 및 관련 저장소 4곳에 악성 코드를 직접 주입했으며, 이 코드는 Claude Code, Gemini CLI, Cursor, VS Code, npm test 스크립트 등 5가지 개발 도구를 통해 자동으로 실행되도록 설계되었습니다.
SafeDep에 따르면, 이 공격은 개발자가 감염된 저장소를 클론하고 AI 코딩 에이전트에서 열 때 활성화되는 것으로 파악되었습니다.
이는 기존의 레지스트리 오염 방식과는 다른, AI 기반 개발 환경의 취약점을 노리는 새로운 공격 벡터입니다.
상세 비교 분석
| 공격 유형 | Miasma 웜 (2026년 6월) | Mini Shai-Hulud 웜 (2026년 5월) | 기존 공급망 공격 (일반) |
|---|---|---|---|
| 주요 공격 대상 | Microsoft GitHub 저장소 73개 (Azure, Microsoft 등) | PyPI 패키지 (durabletask), Linux 시스템 | npm, PyPI, Docker Hub 등 오픈소스 레지스트리 |
| 감염 메커니즘 | 자가 복제, GitHub 레지스트리 우회, AI 코딩 도구 악용 | 정보 탈취, 리눅스 시스템 감염 | 악성 코드 삽입, 취약점 익스플로잇 |
| 목표 | 공급망 침투, 악성 페이로드 확산 | 정보 탈취, 시스템 장악 | 코드 탈취, 시스템 제어, 랜섬웨어 배포 |
| 탐지 방식 | 레지스트리 감시, 코드 분석, AI 기반 위협 탐지 | 시그니처 기반 탐지, 행동 분석 | 취약점 스캔, 시그니처 기반 탐지 |
| 영향 범위 | 개발 생태계 전반, Microsoft 서비스 | Linux 기반 서버 환경 | 특정 패키지 및 애플리케이션 |
기존의 공급망 공격이 주로 npm이나 PyPI와 같은 공개 레지스트리의 취약점을 이용하거나 악성 코드를 직접 삽입하는 방식이었다면, Miasma 웜은 신뢰 모델 자체를 악용한다는 점에서 차이가 있습니다.
예를 들어, npm은 유효한 키로 서명되고 인증된 유지보수자가 게시한 패키지를 안전하다고 가정하는데, Miasma 웜은 이러한 신뢰를 이용해 합법적인 게시자로 위장합니다.
따라서 레지스트리 관점에서는 악성 게시 이벤트가 일반적인 업데이트와 구별되지 않습니다.
더욱이 AI 코딩 에이전트의 등장으로 개발 환경의 변화가 가속화되면서, 이러한 새로운 공격 벡터에 대한 대비가 시급한 상황입니다.
시장 파급 효과 및 전망
이번 Miasma 웜 공격은 오픈소스 소프트웨어 공급망의 취약성을 다시 한번 부각시키며, IT 업계 전반에 걸쳐 보안 강화 노력의 필요성을 증대시키고 있습니다.
특히, Microsoft와 같은 거대 IT 기업의 핵심 서비스 관련 저장소가 공격 대상이 되었다는 점은, 단순한 패키지 감염을 넘어 산업 전반의 신뢰도 하락으로 이어질 수 있습니다.
국내 시장의 경우, 오픈소스 활용 비중이 매우 높기 때문에 이번 사건은 남의 일이 아닙니다.
국내 기업들 역시 개발 생산성 향상을 위해 오픈소스를 적극적으로 도입하고 있으나, 이에 따른 보안 위협에 대한 인식이 상대적으로 부족할 수 있습니다.
따라서 이번 사태를 계기로 국내 IT 기업들은 개발 프로세스 전반에 걸친 철저한 보안 감사 및 취약점 점검에 나서야 할 것입니다.
또한, AI 기반 개발 도구 도입 시 발생할 수 있는 새로운 보안 위협에 대한 교육 및 정책 마련도 시급합니다.
장기적으로는, 이번 사건이 소프트웨어 공급망 보안을 강화하기 위한 새로운 표준 및 기술 개발을 촉진할 것으로 예상됩니다.
예를 들어, 더욱 강력한 코드 서명 및 검증 메커니즘, 실시간 위협 탐지 시스템, 그리고 AI를 활용한 능동적인 보안 솔루션 등이 주목받을 것입니다.
GitHub과 같은 플랫폼 제공업체들도 사용자들의 신뢰를 유지하기 위해 보안 기능을 더욱 강화해야 할 압박을 받게 될 것입니다.
결국, 이러한 공격들은 기술 발전을 저해하는 것이 아니라, 오히려 더욱 안전하고 신뢰할 수 있는 기술 생태계를 구축하는 촉매제 역할을 할 수 있습니다.
자주 묻는 질문 (FAQ)
Q: Miasma 웜 공격의 가장 큰 특징은 무엇인가요?
A: Miasma 웜의 가장 큰 특징은 오픈소스 생태계의 근본적인 신뢰 모델을 악용한다는 점입니다.
합법적인 개발자로 위장하여 정상적인 업데이트처럼 악성 코드를 유포하며, AI 코딩 도구와 같은 최신 개발 환경의 취약점까지 파고드는 정교함을 보입니다.
Q: 이번 공격으로 인해 한국 IT 업계는 어떤 영향을 받게 될까요?
A: 한국 IT 업계는 오픈소스 의존도가 높기 때문에 이번 사태에 민감하게 반응해야 합니다.
개발 생산성 저하, 기업의 보안 투자 증가, 그리고 오픈소스 활용에 대한 신중론이 대두될 수 있으며, 이에 대한 철저한 보안 점검과 대비가 필요합니다.
Q: 소프트웨어 공급망 공격을 방어하기 위해 개발자가 할 수 있는 일은 무엇인가요?
A: 개발자는 사용 중인 라이브러리 및 패키지의 출처와 무결성을 항상 확인해야 합니다.
또한, 의존성 관리를 철저히 하고, 보안 업데이트를 신속하게 적용하며, AI 코딩 도구를 사용할 경우에도 코드의 잠재적인 위험성을 인지하고 검증하는 습관을 들여야 합니다.
Q: Miasma 웜과 같은 공격은 앞으로 더욱 증가할 것으로 예상되나요?
A: 네, Miasma 웜과 같은 공격은 더욱 증가하고 진화할 가능성이 높습니다.
공격자들은 지속적으로 새로운 기술과 개발 환경의 취약점을 탐색할 것이므로, 개발자 커뮤니티와 플랫폼 제공업체들은 끊임없는 보안 연구와 대응책 마련에 힘써야 합니다.
관련 추천 상품
