자동화 플랫폼 편리함 악용... 신뢰 기반 커뮤니티 생태계 무기화

[보안뉴스 김형근 기자] 워크플로우 자동화 플랫폼 n8n의 커뮤니티 노드 생태계가 정상 도구로 위장한 악성 npm 패키지에 의해 침투 당하는 보안 사고가 발생했다.

공격자들은 구글광고(Google Ads) 통합 도구인 것처럼 속인 ‘n8n-nodes-hfgjf-irtuinvcm-lasdqewriit’ 같은 패키지를 유포해 개발자들이 오스(OAuth) 자격 증명을 스스로 입력하도록 유도했다.

이 악성 코드는 워크플로우가 실행될 때 입력된 정보를 가로채 공격자가 제어하는 서버로 전송, 피해 조직의 연결된 디지털 생태계 전체에 접근할 수 있는 통로를 확보했다.


▲n8n 공급망 공격 흐름도 [출처: 엔도랩스]

n8n은 구글 광고, 스트라이프, 세일즈포스 등 수십 개 서비스 API 키와 토큰을 저장하는 중앙 자격 증명 금고 역할을 하기 때문에 단 하나의 노드 오염만으로도 치명적 피해를 줄 수 있다.

특히 n8n 아키텍처는 커뮤니티 노드가 운영체제(OS)에 대한 전체 접근 권한을 갖는 방식이라 단순한 코드 실행만으로도 시스템을 장악할 수 있다.

보안 기업 엔도랩스(Endor Labs) 조사에 따르면, n8n 생태계를 노린 악성 패키지는 최소 8개 이상 식별됐다. 주요 패키지 하나는 삭제 전까지 주당 3400회 이상의 다운로드를 기록했다.

현재 이들 패키지는 npm 레지스트리에서 삭제됐으며, 관련 보안권고(GHSA-77g5-qpc3-x24r)를 통해 후속 조치가 진행되고 있다.

전문가들은 커뮤니티에서 제공하는 대안 노드보다는 n8n 공식 노드를 우선 사용할 것을 권고했다. 또 설치 전 패키지 설명과 다운로드 수를 치밀하게 확인해야 한다고 조언했다.

이 사건은 과거 깃허브 액션(GitHub Actions)을 노렸던 공급망 공격과 유사한 패턴을 보인다. 자동화 플랫폼이 기업 운영의 핵심이 될수록 공격 수법도 더욱 고도화되고 있음을 시사한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>