북한 해커, NPM 악성 패키지 197개 유포…개발자 3만 명 피해

북한 국가 지원 해커 조직이 오픈소스 자바스크립트 생태계를 악용해 블록체인과 웹3 개발자를 노린 대규모 사이버 공격을 벌이고 있다. 사이버프레스가 1일(현지시간) 보도에 따르면, 북한 해커들은 NPM(Node Package Manager) 저장소에 197개 악성 패키지를 배포해 개발자들의 암호화폐 지갑과 민감 정보를 탈취하고 있다.

보안업체 소켓(Socket) 위협 연구팀은 이 작전을 '전염성 인터뷰(Contagious Interview)'로 명명하고 추적 중이다. 연구팀 분석 결과, 공격자들은 '테일윈드-매직(tailwind-magic)', '노드-테일윈드(node-tailwind)', '리액트-모달-셀렉트(react-modal-select)' 등 이름으로 정상 라이브러리를 모방한 악성 패키지를 제작했다. 이들 패키지는 깃허브(GitHub) 프로필 'stardev0914'를 통해 활동하는 북한 위협 행위자 그룹과 연계된 계정들로 업로드됐다.


공격 수법은 정교하다. 북한 해커들은 먼저 깃허브에 가짜 개발자 프로필을 만들고, 나이츠브리지 탈중앙화 거래소(DEX)와 같은 기존 암호화폐 프로젝트를 복제해 설득력을 높인다. 그런 다음 웹3 개발자들에게 가짜 면접과 코딩 테스트를 제안하며 이들 악성 패키지 설치를 유도한다.

개발자가 이 패키지를 컴퓨터에 설치하면 숨겨져 있던 '사후설치(postinstall)' 명령이 자동으로 작동한다. 이 명령은 베르셀(Vercel)이라는 클라우드 업체가 운영하는 서버(테트리스믹[.]베르셀[.]앱)에 몰래 접속한다. 그곳에서 해킹용 자바스크립트(JavaScript) 코드를 내려받아 피해자 컴퓨터에서 바로 실행한다. 공격자는 이를 통해 피해자 컴퓨터를 원격으로 조종할 수 있는 권한을 손에 넣는다.
사이버보안뉴스의 지난달 28일(현지시간) 보도에 따르면, 10월 10일 이후 확인된 악성 패키지 다운로드 건수만 3만 1000회 이상이다. 이들 패키지는 '오터쿠키(OtterCookie)'라는 본격 악성코드를 내려받는 1단계 도구 역할을 한다. 오터쿠키는 정보를 훔치는 도구와 원격 접근 트로이목마(RAT, Remote Access Trojan) 기능을 결합한 복합 악성코드다.


컴퓨터에 설치된 오터쿠키는 먼저 피해자 시스템 정보를 수집하고, 보안 프로그램 분석을 피하려고 샌드박스(가상 격리 환경) 여부를 확인한다. 이후 IP 주소 144[.]172[.]104[.]117에 위치한 명령 제어(C2, Command and Control) 서버와 지속 연결을 맺는다. 악성코드는 원격 명령창(셸)을 열고, 복사-붙여넣기 내용(클립보드 데이터)을 훔치고, 화면을 몰래 캡처하며, 키보드 입력을 모두 기록한다.

특히 암호화폐 지갑을 집중 공략한다. 크롬(Chrome)과 브레이브(Brave) 브라우저에 설치된 메타마스크(MetaMask), 팬텀(Phantom), 트러스트월렛(Trust Wallet) 같은 인기 암호화폐 지갑 확장 프로그램에서 저장된 비밀번호와 데이터를 빼낸다. 컴퓨터에 저장된 파일들을 샅샅이 뒤져 비밀키, 지갑 복구용 시드 구문(seed phrase), 로그인 정보까지 모두 탈취한다. 윈도우(Windows), 맥OS(macOS), 리눅스(Linux) 등 모든 운영체제에서 작동한다.

보고서 작성 당시 최소 15개 패키지가 활성 상태로 남아 있었으며, 새로운 변종이 매주 나타나고 있다고 연구팀은 경고했다. 깃허브는 이후 악성 저장소를 제거했지만, 이미 내려받은 패키지를 사용 중인 개발자들은 여전히 위험에 노출돼 있다.

이번 공격은 국내 개발자와 기업들에게도 직접 위협이다. 안랩이 지난달 26일 발표한 '2025년 사이버 위협 동향 및 2026년 보안 전망' 보고서에 따르면, 분석 기간 동안 확인된 북한계 지능형 지속 위협(APT, Advanced Persistent Threat) 활동은 총 86건이었다. 이 가운데 라자루스(31건)와 김수키(27건)가 중심을 이뤘다.

안랩은 내년 한국을 겨냥한 사이버 위협이 더욱 정교해질 것으로 전망했다. 개발 환경의 근간인 오픈소스 생태계가 공격 대상이 되면서, 패키지 저장소 탈취, 계정 탈취, 타이포스쿼팅(오타를 이용한 가짜 패키지) 등 복합 수법이 기업 핵심 시스템까지 위협할 가능성이 커지고 있다고 분석했다.

보안 전문가들은 모든 NPM 설치를 잠재 원격 코드 실행으로 간주하고, 의존성 버전을 고정 설정하며, 가져온 패키지를 수동 검토할 것을 권고한다. 조직은 빌드 과정을 모니터링하고, 외부 접속 제한을 적용하며, 평가 호출, 로더 스크립트, C2 통신 같은 행위를 식별하는 자동 스캔 도구를 도입해야 한다고 조언한다.

국내 보안업체 OSC는 "악성 패키지를 이용한 공급망 공격을 막으려면 저장소(리포지토리, Repository)에 악성 패키지가 저장되지 않도록 원천 차단하는 것이 가장 좋은 방법"이라고 말했다. 소나타입(Sonatype)의 저장소 방화벽(Repository Firewall)은 알려진 위협요소가 있는 패키지가 들어오는 것을 원천 차단해 악성 패키지 공격 96%를 막는다고 업계는 평가한다.

카스퍼스키는 지난해 말 기준 오픈소스 프로젝트에서 총 1만 4000개 악성 패키지를 발견했다고 밝혔다. 전년 대비 50% 늘어난 수치다. 공급망 공격이 소프트웨어 생태계 전체를 위협하는 가운데, 개발 단계부터 보안을 내재화한 체계 구축이 시급하다는 지적이 나온다.


박정한 글로벌이코노믹 기자 park@g-enews.com