글로벌 오픈소스 개발자 커뮤니티 '깃허브(Github)'에서 악성코드를 포함한 것으로 보여지는 오픈소스 저장소(리포지토리) 복사본(클론) 프로젝트가 무더기로 발견됐다.

깃허브는 소프트웨어(SW)의 소스코드를 공유하는 플랫폼으로, 세계 최대 개발자 커뮤니티이기도 하다. 로그인만 하면 누구나 자신이 개발한 소스코드를 올릴 수 있으며, 인기 오픈소스 프로젝트를 복사해 사용하는 일도 빈번하게 이뤄진다. 이같은 특성 탓에 악성코드가 포함된 프로젝트를 누군가 악의적 목적으로 올릴 경우 확산될 가능성이 커 주의가 요구된다.

지난 3일 소프트웨어(SW) 개발자 스티븐 레이시는 자신의 트위터를 통해 "깃허브에서 광범위한 악성코드 공격을 발견했다"며 "의심스러운 URL주소가 포함된 악성코드를 깃허브에 검색한 결과 총 3만5000개에 달하는 리포지토리가 영향을 받았다"고 주장했다.

그러나 그의 주장과는 달리 3만5000개 프로젝트는 악성코드에 감염되거나 공격을 받지 않은 것으로 나타났다. 깃허브 보안팀은 트위터를 통해 "지난 3일(현지시간) 올라온 트윗의 내용을 조사했다"며 "손상된 리포지토리는 없다"고 설명했다. 다만 팀은 "악성코드가 리포지토리 자체가 아닌 복제된 프로젝트에 삽입됐다"고 덧붙였다. 

리포지토리는 정보 시스템 프로그램이나 데이터 같은 자원을 관리하는 데이터베이스를 의미한다. 인기 오픈소스 리포지토리에는 ▲파이썬 ▲도커 ▲쿠버네티스 등이 있는데, 이를 교묘하게 복사해 악성코드를 삽입한 클론 프로젝트가 수천개 발견된 것. 

악성코드가 삽입된 클론 프로젝트 중 하나는 가상자산 채굴을 위한 오픈소스 프로젝트 '스칼라-네트워크'인데 불특정행위자가 이를 '스텔라이트코인'으로 변형시켜 사용자들을 현혹시킨 것으로 나타났다.

이같은 클론 프로젝트들은 공통적으로 특정(ovz1.j454519.pr46m.vps.myjino[.]ru) URL을 포함하고 있는 점이 특징이다. 해당 URL은 현재는 사용할 수 없는 상태로, 러시아 소재 서버 호스팅 업체 '지노(Jino)'가 운영했던 가상 임대 서버(VPS)였던 것으로 나타났다. 또 사용자의 중요 정보를 유출시킬 수 있는 '백도어(Backdoor)' 코드도 포함돼있는 것으로 분석됐다. 백도어는 사용자 인증 등 정상적 절차 없이 시스템에 접근할 수 있도록 하는 프로그램이다.

보안 전문가들에 따르면 이번에 발견된 사례 또한 개발자들이 악성코드가 삽입된 클론 프로젝트를 사용할 경우 ▲응용프로그램인터페이스(API) 키 ▲아마존웹서비스(AWS) 클라우드 자격 증명키 ▲개인 암호키 등과 같은 중요 정보가 탈취될 수 있으며, 임의의 코드를 원격으로 실행시키는 것도 가능하다. 현재 깃허브는 문제가 된 리포지토리를 모두 제거한 상황이다. 

다만 이번 사건이 단순 해프닝일 가능성도 배제할 수 없다. 국내 한 보안 전문가는 "코드에 포함된 러시아 호스팅 업체 '지노'가 제공하는 가상서버를 일반적으로 해커들이 사용한 사례는 없었다"며 "코드 구성 자체도 공격자들이 사용하는 형태와 다른 측면이 있으며, 현재 구체적 피해 상황 등이 나오지 않는 정황을 종합하면 최초 발견한 개발자의 오해일 가능성도 있다"고 설명했다.

김가은 기자 7rsilver@techm.kr