해킹 그룹 랩서스가 다크웹에 게시한 소스코드 및 API 키 공식 인정
고객 프로덕션 환경과 분리돼 직접 피해 없으나 포렌식 통해 유출 규모 확인 중

[보안뉴스 김형근 기자] 글로벌 보안기업 체크막스(Checkmarx)가 지난 3월 발생한 공급망 공격으로 탈취된 사내 데이터가 최근 다크웹에 게시된 사실을 공식 확인했다고 28일(현지시간) 밝혔다.



이번 유출 사태는 회사의 깃허브(GitHub) 저장소로, 지난 3월 공급망 공격이 직접적인 발단이 됐다. 해커 조직 랩서스(LAPSUS$)가 다크웹에 체크막스의 소스코드, 직원 정보, API 키 등을 게시했다.

유출된 정보에 내부 시스템 접근에 쓰이는 몽고DB 및 MySQL 자격증명까지 있어 기업 인프라 접근 통제에 비상이 걸렸다. 데이터베이서 접속 권한과 API 키가 고스란히 넘어간 점은, 전통적인 경계 보안망이 강력하더라도 개발자 저장소를 노린 공급망 공격에 기업의 핵심 인프라가 무력화될 수 있음을 시사한다.

논란이 커지자 체크막스 측은 피해를 입은 깃허브 저장소가 고객 제품 환경과 엄격하게 분리된 독립 공간이라며, 고객 데이터 피해 가능성을 일축했다. 회사는 해당 저장소에 대한 외부 접근 권한을 차단하고, 포렌식 조사를 통해 게시된 데이터의 규모와 성격을 면밀히 검증하고 있다.

주요 외신과 보안 전문가들에 따르면, 이번 사태는 단일 침해사고가 아닌 치밀하게 설계된 연쇄 공격의 결과물이다. 앞서 팀PCP(TeamPCP)란 이름의 해커 조직은 오픈소스 취약점 스캐너 ‘트리비’의 공급망을 공격해 체크막스의 워크플로우와 플러그인을 변조한 바 있다.

공격자들은 체크막스의 인프라 보안 진단 도구인 KICS 도커 이미지와 비주얼 스튜디오 코드 확장 프로그램에 개발자 자격 증명을 탈취하는 멀웨어를 심어 공격했다. 이러한 침투 전략은 비밀번호 관리자인 비트워든의 CLI npm까지 일시적으로 오염시키는 등 연쇄 효과를 일으켰다.

체크막스는 현재 고객 정보와 관련성이 추가로 확인될 경우 즉각 통보 조치를 진행할 예정이다. 전문가들은 보안 솔루션 공급업체마저 해커들의 표적이 된 현실을 직시하고, 개발부터 배포에 이르는 공급망 전체의 체계를 원점에서 재점검할 것을 촉구했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>