공급망 보안, 해법은 ‘자동화된 길목 통제’... OWASP 세미나

2026-07-05 11:25
  • 카카오톡
  • 네이버 블로그
  • url
OWASP 세미나, 당근·토스 보안 실무자들의 보안 인프라 구축기 공유
당근, 사내 ‘레지스트리 프록시’ 통해 특정 기간 유입 제한하는 쿨다운 정책 가동
토스, 직렬화 포맷 맹점 파고드는 ML 위협 차단 위해 아티팩트 방화벽 운영


[보안뉴스 조재호 기자] “현재 파이썬 공식 저장소에는 하루에도 900개가 넘는 신규 패키지가 끊임없이 등록되고 있습니다. 대규모 자동화 툴을 동원한 무차별적 유포가 일상화된 상황에서, 개발자 개개인의 주의력에만 의존하는 수동적 대응은 이미 한계점을 지났습니다.”

나동희 당근 소프트웨어 엔지니어는 이같이 쏟아지는 보안 위협의 규모를 강조하며, 수동적인 보안 정책이 한계에 다다랐음을 강조했다. 인성디지탈의 후원으로 열린 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP) 서울 챕터의 6월 세미나에서는 무분별하게 확장되는 소프트웨어 공급망 위협에 대응하는 현업 엔지니어들의 치열한 기술적 고민이 오갔다.


▲(왼쪽부터) 나동희·김수빈 당근 소프트웨어 엔지니어가 발표 후 기념 촬영을 하고 있다. [출처: 보안뉴스]

세미나는 국내 IT 트렌드를 선도하는 당근과 토스의 보안 실무자들이 연사로 나서, 사내망에 방어 인프라를 구축하며 겪은 트러블슈팅 과정을 공유했다.

첫 세션에서는 김수빈 당근 소프트웨어 엔지니어와 나동희 당근 소프트웨어 엔지니어가 파이썬 공식 저장소(PyPI)를 덮친 위협 현황과 사내 프록시 대응 체계를 공개했다. 최근 1년 사이 파이썬 생태계에 새롭게 보고된 멀웨어만 2800개를 넘어선 만큼, 당근은 클라이언트 단의 개별 통제가 아닌 인프라 중심의 ‘레지스트리 프록시’를 사내에 구축했다.

김수빈 소프트웨어 엔지니어는 “단순히 클라이언트를 통제하기보다 공통으로 바라보는 특정 패키지 레지스트리를 만들고 공통의 보안 정책을 적용하는 방식으로 접근했다”며 “특히 배포 후 특정 기간이 지나지 않은 패키지의 접근을 제한하는 ‘쿨다운’ 정책을 가동해 악성 패키지의 짧은 생애주기 동안 발생할 수 있는 내부 감염 리스크를 선제적으로 제어하고 있다”고 설명했다.

이어 “기존 위협의 50퍼센트에서 60퍼센트는 단순 버전 락킹 부재에서 비롯된다”며 “궁극적으로는 개발자들이 일일이 주의를 기울이지 않더라도 중앙에서 공통으로 안전하게 라이브러리를 사용할 수 있게 돕는 것이 목표”라고 덧붙였다.


▲표상영 토스 보안연구원이 발표를 진행하고 있다. [출처: 보안뉴스]

두 번째 세션에서는 표상영 토스 보안 연구원(Security Researcher)이 연단에 올라 머신러닝 운영(MLOps) 환경을 겨냥한 신종 위협과 ‘아티팩트 방화벽’ 운영 경험을 소개했다. 그는 “소프트웨어 패키지에 대한 공급망 대응은 어느 정도 성숙화됐지만, 공격자들은 철저히 투자 대비 수익(ROI)을 좇아 방어가 가장 취약한 다음 타깃인 MLOps 환경을 정조준하고 있다”고 진단했다.

특히 AI 모델 훈련에 쓰이는 직렬화 포맷은 구조적 취약점을 안고 있다. 표 연구원은 “피클(Pickle) 같은 직렬화 포맷은 역직렬화 과정 자체만으로도 임의 코드가 실행될 수 있는 거대한 맹점을 지니고 있다”며 “안전한 데이터 전용 포맷을 도입하더라도 커스텀 아키텍처 구동을 위해 동봉된 파이썬 스크립트 실행 권한을 역이용해 스캐너를 우회하는 변종 공격이 잇따르고 있다”고 지적했다.

이에 토스는 쿠버네티스 환경에 자체 방화벽을 올려 하루 6만건 이상의 패키지를 스캔하고 있다. 표 연구원에 따르면, 보안 정책이 개발 조직의 속도를 늦추거나 방해하지 않도록 HTTP 캐시 스펙을 활용해 개발자에게 에러 없이 해당 유해 버전만 숨기는 실무적 접근 방식을 구현하다. 또, 글로벌 플랫폼의 정적 스캐너(SAST)는 우회 가능성이 있어 방화벽 내 자체 검증을 가진 청정 모델만 사내 저장소에 적재해 사용하도록 통제하는 체계가 필수적이라는 의견이다.

이번 세미나에서 발표를 진행한 실무자들은 오픈소스 생태계와 머신러닝 운영 환경은 그 취약점 발현 원리가 다르지만, 공격자들은 언제나 보안의 사각지대인 ‘외부 반입 경로’를 집중적으로 파고든다고 전했다. 이에 개별 개발자의 주의력에 의존하던 수동적 보안 관행에서 벗어나, 사내망 진입 길목에 전용 프록시와 방화벽을 세워 유입 단계부터 악성 코드를 원천 차단하는 중앙 통제형 자동화 아키텍처가 공급망 보안의 실무적 대안으로 자리 잡고 있음을 전했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 시큐리티플랫폼

    • 인콘

    • 엔텍디바이스

    • 핀텔

    • 아이비젼

    • 아이디스

    • 인피닉

    • 웹게이트

    • 판빌코리아

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 엔토스정보통신

    • 원우이엔지

    • 지인테크

    • 에스엠시스템즈

    • 이화트론

    • 에스비젼

    • 테크스피어

    • 휴먼인텍

    • 슈프리마

    • 홍석

    • 시큐인포

    • 미래정보기술(주)

    • 티비티

    • 지오멕스소프트

    • 세연테크

    • 경인씨엔에스

    • 스마트시티코리아

    • 성현시스템

    • 렉스젠

    • 파인트리커뮤니케이션

    • 다후아코리아

    • 트루엔

    • 제이더블유씨네트웍스

    • 한국표준보안

    • 씨엠아이텍

    • 지엠케이정보통신

    • 시큐믹

    • 한국씨텍

    • 진명아이앤씨

    • 포엠아이텍

    • 비엔에스테크

    • 모니터

    • 펜타시큐리티

    • 시큐아이

    • 윈스테크넷

    • 이레산업

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 더플러스

    • 세이프네트워크

    • 네티마시스템

    • 아이엔아이

    • 에이앤티코리아

    • 인더스비젼

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 일산정밀

    • 크랜베리

    • 새눈

    • 누리콘

    • 윈투스시스템

    • 메트로게이트
      시큐리티 게이트

    • 케비스전자

    • 태양테크

    • 엘림광통신

    • 미래시그널

    • 뷰런테크놀로

    • 아이에스앤로드테크

    • 현대틸스
      팬틸트 / 카메라

    • 넥스트림

    • 스마컴

    • 구네보코리아

    • 명정보기술

    • 엔시드

    • 엔에스티정보통신

    • 와이즈콘

    • 글로넥스

    • 유진시스템즈

    • 엠스톤

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

회원가입

Passwordless 설정

PC버전

닫기