'코드 레드'에서 '무의미한 버거'까지: NPM 익스플로잇이 과대평가되었는가?

경각심을 주는 ‘별거 아닌 것’

대규모 자바스크립트 Node Package Manager(NPM) 공급망 공격의 초반 보고는 암호화폐 커뮤니티 내에서 짧지만 강렬한 공황 상태를 촉발했습니다. 몇 시간 동안, 비관론자들은 경고에 주목하여 사용자 자금의 광범위한 절도에 대한 추측을 했습니다. 당시 Ledger CTO인 Charles Guillemet은 소프트웨어 지갑 사용자에게 온체인 거래를 중단하고 하드웨어 지갑 사용자에게는 거래를 철저히 검토할 것을 권고했습니다.

하지만 시간이 지나면서 공격의 규모가 명확해졌습니다. 악성 코드가 매우 타겟화되어 있으며, 영향을 받은 애플리케이션의 수가 제한적임이 밝혀졌습니다. Uniswap, Metamask, OKX Wallet, Aave와 같은 주요 프로젝트들은 영향을 받지 않았다는 확인을 발표했습니다.

광범위한 피해가 없다는 점에서 초기 공황이 논쟁으로 바뀌었습니다. 일부 안도한 암호화폐 사용자들은 원래 경고의 심각성을 의문시하기 시작했으며, 일부는 이를 과장된 것으로 보고 소프트웨어 지갑에 대한 간접적 공격이라고 해석했습니다. 이는 경고가 실제로 존재하는 취약점을 강조하면서도 하드웨어 지갑 사용을 장려하기 위해 과장되었을 가능성이 있다는 관점을 제시합니다.

암호화된 금액에서 발생한 피해로 인해 일부는 이 공격을 “별거 아닌 것”으로 간주하기도 했지만, 몇몇 블록체인 보안 전문가들은 이 사건이 모든 소프트웨어 개발자들에게 경각심을 불러일으켜야 한다고 주장합니다. 이 전문가들은 이번 사건이 하드웨어 지갑의 보안 모델을 입증한다고 동의하지만, 이러한 공격에 특정 상황에서는 하드웨어 지갑 사용자가 여전히 자금을 잃을 수 있다고 경고합니다.

Cartesi의 공동 창업자인 Augusto Teixeira는 “하드웨어 지갑 사용자도 이러한 공격에 영향을 받을 수 있습니다. 예를 들어, 몇 몇 사람들은 Metamask와 같은 앱의 도움을 받아 하드웨어 지갑을 사용하지만, 기기의 화면에서 데이터를 확인하지 않습니다. 이는 거래가 점점 더 복잡해지고 사람들이 이를 맹목적으로 서명하는 경우가 많아지는 만큼 일반적으로 어려운 작업입니다.”라고 설명했습니다.

그에 따르면, 하드웨어 지갑은 주소록이나 JSON ABI와의 통합과 같은 중요한 기능이 부족해 사용자가 기기의 화면에서 무엇을 서명하는지를 더 잘 이해할 수 있도록 해줍니다.

산업 전반의 영향과 모범 사례

NPM 사건은 개발자, 패키지 관리자, 조직에서 사용되는 보안 관행에 대해 의문을 불러일으켰습니다. 암호화폐 산업의 일부는 동료 검토와 승인 없이 개발자가 코드를 프로덕션에 푸시하지 못하도록 하는 등의 모범 사례를 따르는 것이 이러한 공격의 가능성을 최소화할 수 있다고 믿습니다. 추가적으로, 그들은 개발자가 시스템을 최신 상태로 유지하고 비밀번호 재사용을 피해야 한다고 주장합니다.

COTI의 공동 창업자 겸 CEO인 Shahaf Bar-Geffen은 NPM과 같은 패키지 관리자가 공격자가 로그인 과정을 더 어렵게 만들도록 해야 한다고 믿습니다. 그는 “OpenJS Foundation과 같은 기관에서 감독할 수 있는 ‘중요 패키지 보안 프레임워크’가 강력한 인증(2FA, 범위화된 API 토큰), 재현 가능한 빌드, 높은 다운로드 임계값을 초과하는 패키지에 대한 연간 타사 감사”를 의무화할 수 있다고 주장합니다. Bar-Geffen은 이러한 계층화된 검증 모델이 모범 사례를 장려하고 중요한 인프라를 보호하는 데 도움이 된다고 믿습니다.

Carlo Fragni, Cartesi의 솔루션 아키텍트는 악의적 활동을 폭로하기 위해 (이해 상충이 있을 수 있는) 한 사람에게 의존하지 않기 위해 프로젝트들이 연구자들이 사용하는 채널에 주의를 기울일 것을 권장합니다. 그는 또한 “종속성 분석 도구를 사용하고 종속성을 새 버전으로 업데이트할 때마다 종속성에 대한 적절한 실사를 수행”할 것을 촉구합니다.