---
title: "AI 에이전트 프레임워크까지 뚫은 npm 공급망 공격, 이번엔 북한 배후 정황"
published: 2026-07-09T01:05:03.412Z
canonical: https://jeff.news/article/4831
---
# AI 에이전트 프레임워크까지 뚫은 npm 공급망 공격, 이번엔 북한 배후 정황

npm 공급망 공격이 8주 사이 6차례 이어졌고, AI 에이전트 프레임워크 마스트라 관련 패키지 140여 개가 단 19분 만에 감염됐다. 마이크로소프트는 이번 공격을 북한 해킹 조직 새파이어슬릿의 소행으로 지목했고, 악성코드는 윈도·맥OS·리눅스에서 암호화폐 지갑과 클라우드 인증정보를 노렸다.

- npm 공급망 공격이 8주 사이 6번이나 터졌고, 이번엔 AI 에이전트 프레임워크까지 뚫림
  - 4월 22일 비트워든 관련 공격부터 6월 1일 레드햇 관련 공격까지 5건이 이어졌고, 이들은 범죄조직 ‘TeamPCP’ 소행으로 파악됨
  - 여섯 번째인 마스트라 사건에서는 마이크로소프트가 북한 해킹 조직 새파이어슬릿을 배후로 지목함

- 핵심은 속도임. 마스트라 관련 140여 개 패키지가 단 19분 만에 감염됨
  - 공격자는 먼저 정상 버전처럼 보이는 날짜 라이브러리를 배포해 신뢰를 쌓음
  - 다음 날 오전 1시에 악성 후크가 담긴 위장판을 올렸고, 설치와 동시에 악성코드가 실행되는 구조였음
  - 악성코드는 암호화폐 지갑과 클라우드 인증정보를 훑었고, 윈도·맥OS·리눅스를 모두 겨냥한 정보탈취형으로 보도됨

> [!WARNING]
> 이건 단순히 “이상한 패키지 조심하자” 수준이 아님. 정상 계정이나 정상처럼 보이는 배포 흐름이 오염되면, CI/CD와 개발자 로컬 환경이 바로 공격 경로가 됨.

- 오픈소스 악성 패키지 증가는 이미 숫자로도 꽤 세게 찍힘
  - 소나타입은 지난해 신규 악성 오픈소스 패키지를 45만4600여 개로 집계함
  - 누적 차단 건수는 123만3000개를 넘었고, 전년 대비 증가율은 75%였음
  - 특히 오픈소스 악성코드의 99% 이상이 npm에서 발생했다는 수치가 제시됨

- npm도 방어책을 내놓고 있지만, 이번 케이스는 한계가 딱 드러난 쪽임
  - npm은 게시 권한을 발급자 신원과 자동 연동하는 신뢰 게시 방식을 도입하고, 기본 이중 인증 적용 범위도 넓힘
  - 그런데 마스트라 사건은 토큰 하나가 샌 게 아니라 계정 자체가 넘어간 경우라서, 새 제도만으로는 막기 어려웠다는 분석이 나옴

- 단기 처방과 장기 처방이 갈림
  - 단기적으로는 의심 계정 배포 정지, 신규 패키지 격리 같은 조치가 확산 속도를 늦출 수 있음
  - 장기적으로는 소프트웨어 자재명세서(SBOM) 의무화와 설치 전 행위 기반 탐지가 필요하다는 진단이 나옴
  - 패키지 이름이나 다운로드 수만 보는 방식으론 이제 부족하다는 얘기임

- 국내 기업 입장에선 보안 점검 수요가 바로 생기는 이슈임
  - 삼성SDS는 기업 고객의 SBOM 구축 수요를 흡수할 여지가 있다는 분석이 나옴
  - 네이버클라우드는 클라우드 보안관제 계약 확대 가능성이 언급됨
  - 파수 자회사 스패로우는 오픈소스 구성요소와 취약점을 실시간 진단하는 SBOM 자동 생성 도구를 이미 갖고 있어 직접 수혜 후보로 거론됨

---
## 기술 맥락

- 이번 사건에서 중요한 선택지는 “패키지를 설치한 뒤 스캔할 것인가, 설치 전에 이상 행동을 막을 것인가”예요. 악성코드가 설치와 동시에 실행되는 구조라면 사후 탐지만으로는 이미 인증정보가 빠져나간 뒤일 수 있거든요.

- SBOM이 필요한 이유는 장애 대응이 아니라 영향 범위 파악 때문이에요. 특정 npm 패키지가 오염됐을 때 어느 서비스, 어느 빌드, 어느 컨테이너 이미지에 들어갔는지 바로 찾아야 조치 시간이 줄어들어요.

- npm의 신뢰 게시나 이중 인증은 토큰 탈취에는 도움이 되지만, 계정 자체가 장악되는 경우엔 방어선이 약해져요. 그래서 계정 보안과 함께 패키지 행위 분석, 신규 버전 격리, 배포자 평판 같은 여러 층의 방어가 같이 필요해요.

- AI 에이전트 개발 프레임워크가 표적이 된 점도 봐야 해요. 이런 도구는 클라우드 키, 모델 API 키, 배포 권한과 가까운 위치에서 쓰이는 경우가 많아서, 일반 유틸 패키지보다 탈취 가치가 훨씬 클 수 있어요.

## 핵심 포인트

- 8주 동안 npm 공급망 공격이 6차례 발생했고, 마스트라 사건에서 국가 배후 정황이 확인됨
- 공격자는 정상 패키지를 가장한 뒤 악성 후크가 담긴 위장판을 배포했고 19분 만에 140여 개 패키지가 감염됨
- 소나타입은 지난해 신규 악성 오픈소스 패키지가 45만4600여 개, 전년 대비 75% 증가했다고 집계함
- 토큰 보호나 이중 인증만으로는 계정 탈취형 공격을 막기 어렵고, SBOM과 설치 전 행위 탐지가 중요해짐

## 인사이트

AI 개발도 결국 npm 같은 오픈소스 공급망 위에서 굴러가는데, 그 기반이 털리면 모델보다 빌드 파이프라인이 먼저 터진다. 이제 패키지 설치는 ‘편한 복붙’이 아니라 보안 이벤트로 봐야 할 타이밍임.
