【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]클로드 코드 유출 악용한 악성코드 확산… 개발자 노린 공급망 공격 우려

온카뱅크관리자

2026-04-07 06:07:29

<div id="layerTranslateNotice" style="display:none;"></div>  <strong class="summary_view" data-translation="true">앤트로픽 배포 실수로 51만 줄 코드 노출 <br>가짜 깃허브 압축(7z) 파일에 악성코드 유포</strong> 
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="bolApHiPUV">
          <p contents-hash="ef967b0f3537e996885061a3ef8b32393223abe68c6af5e36e48d5cea6316792" dmcf-pid="KgScUXnQF2" dmcf-ptype="general">앤트로픽의 인공지능(AI) 코딩 도구 '클로드 코드(Claude Code)' 소스코드 유출 직후, 공격자들이 이를 미끼로 한 악성코드 유포가 빠르게 확산되며 개발자들의 각별한 주의가 요구된다. 개발자 커뮤니티를 겨냥한 이번 공격 캠페인은 AI 개발자들의 호기심과 개발 생태계 신뢰 구조를 동시에 노린 사회공학적 공격이라는 점에서 보안 업계의 주목을 받고 있다.</p>
          <div contents-hash="3f6da7b243afd6f3abb1b741a6878dcc7fbffdca1cb83f4bda1b34a56a2c3a88" dmcf-pid="9avkuZLxp9" dmcf-ptype="general">
           글로벌 보안 기업 트렌드AI(TrendAI, 트렌드마이크로의 신규 브랜드)는 소스코드 유출 이후 24시간이 지나지 않아 가짜 깃허브 저장소를 활용한 악성코드 유포가 시작됐다고 지난 3일 보고서를 통해 경고했다.
          </div>
          <figure class="figure_frm origin_fig" contents-hash="2d46465f1b264e613fb1b41402f159c9def83483a2082f5871597517fa5cb588" data-idxno="440360" data-type="photo" dmcf-pid="2PkeYI4qUK" dmcf-ptype="figure">
           <p class="link_figure"><img alt="클로드 코드 소스코드 유출을 미끼로 악용한 악성코드 유포가 발견돼 주의가 필요하다. / 챗GPT 생성" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/07/552810-SDi8XcZ/20260407060206412qizu.png" data-org-width="1280" dmcf-mid="BTzHeflwpf" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/07/552810-SDi8XcZ/20260407060206412qizu.png" width="658"></p>
           <figcaption class="txt_caption default_figure">
            클로드 코드 소스코드 유출을 미끼로 악용한 악성코드 유포가 발견돼 주의가 필요하다. / 챗GPT 생성
           </figcaption>
          </figure>
          <p contents-hash="4a13053a507a8898118de74d3f9440f2051629398096110a20242771d94b21c4" dmcf-pid="VQEdGC8Bzb" dmcf-ptype="general">클로드 코드 소스코드 유출 사건의 발단은 패키지 배포 과정의 설정 오류에서 비롯된 것으로 알려졌다. 앤트로픽은 지난달 31일 클로드 코드 npm 패키지를 배포하면서 내부 소스코드가 포함된 '소스맵(.map)' 파일을 제외하지 못했다. 해당 파일에는 약 1900개 파일, 51만 줄 규모의 타이프스크립트(TypeScript) 코드가 담겨 있었으며, 비난독화 상태로 포함돼 내부 로직과 기능 구조까지 외부에 그대로 드러났다.</p>
          <p contents-hash="a9ab225b346ecd7fe92c89e2610662f3b029129d3c3c57e3b1550d20ee8d6a67" dmcf-pid="fxDJHh6bpB" dmcf-ptype="general">유출된 코드에는 자율 동작 에이전트 모드, 메모리 최적화 기능, 내부 보호 로직, 미공개 모델 코드명 등도 포함된 것으로 확인됐다. 해당 코드는 공개 직후 수 시간 내 깃허브 등으로 확산됐다.</p>
          <p contents-hash="bba0eba0ff8e5197bb1df4c8fc017467bc27494cdd1e37bfa8b824ac97a6f9ad" dmcf-pid="4MwiXlPKuq" dmcf-ptype="general">공격자는 유출 사건을 즉시 악용했다. 트렌드AI에 따르면 공격자는 "leaked Claude Code(클로드 코드 유출)" 등의 검색어에서 상위에 노출되도록 가짜 깃허브 저장소를 구성하고, 리드미(README) 파일에 "유출 소스코드 복원", "제한 없는 기능 제공" 등의 문구를 삽입해 정상 프로젝트처럼 위장했다. </p>
          <p contents-hash="d44136434f107273180da395249b8d27a6e477e8023328158f9bc4b54a550d4d" dmcf-pid="8RrnZSQ9zz" dmcf-ptype="general">감염은 사용자가 저장소 내 링크를 통해 가짜 소스코드 파일을 내려받는 순간 시작된다. 깃허브 릴리즈(GitHub Releases)에 등록된 압축 파일(7z)을 실행하면, 내부에 포함된 실행 파일이 추가 악성코드를 불러와 설치하도록 하는 '드로퍼(dropper)'로 작동하는 구조다.</p>
          <p contents-hash="ef95c3386a80ba5ce2aad4ed5ee13514dfa5b1db4265fac29ed5aa1db91bb8bc" dmcf-pid="6emL5vx2p7" dmcf-ptype="general">유포된 악성코드는 정보 탈취형(infostealer) '비다르(Vidar)'와 프록시 기능을 수행하는 '고스트삭스(GhostSocks)'다. 비다르는 브라우저 저장 비밀번호, 세션 토큰, 신용카드 정보, 암호화폐 지갑 데이터를 수집한다. 고스트삭스는 감염된 시스템을 'SOCKS5' 프록시로 전환해 공격자의 활동을 은폐한다.</p>
          <p contents-hash="c4396a7f57bfcc74880c48c28cc95618ee8268d136a1f61bdc03fa09c4325d5c" dmcf-pid="Pdso1TMVzu" dmcf-ptype="general">특히 명령제어(C&amp;C) 서버 주소를 게임 플랫폼인 '스팀(Steam)' 커뮤니티 프로필이나 텔레그램 채널을 통해 동적으로 가져오는 방식이 적용돼, 보안 장비를 통한 차단을 어렵게 만든다.</p>
          <p contents-hash="3349a0ef7fc0dfaef390446099106f62f5fdb39e41ecb903803218c8da5d0fe2" dmcf-pid="QJOgtyRfpU" dmcf-ptype="general">뿐만 아니라 드로퍼에는 분석 회피 기능도 포함돼 탐지가 까다로운 것으로 알려졌다. VM웨어, 버추얼박스, 하이퍼-V 등과 같은 가상환경과 x64dbg, IDA 등의 디버깅 도구를 탐지해 실행을 중단하고, 문자열을 XOR 방식으로 암호화해 정적 분석을 어렵게 만든다. 또한 '윈도 디펜더(Windows Defender)' 주요 기능을 비활성화하고 방화벽 예외를 추가하는 등 보안 기능 무력화 시도도 확인됐다. 이밖에 그래픽처리장치(GPU) 환경을 기준으로 감염 우선순위를 설정하는 로직도 포함돼, 고성능 개발 환경을 주요 타깃으로 삼았다는 점도 특징이다.</p>
          <p contents-hash="ff8a108632833afb4ff9111e262fdc76487ddfe6645f0a9da377246bda328c6a" dmcf-pid="xLhj0GJ6zp" dmcf-ptype="general">최영삼 트렌드AI 상무는 "이번 공격은 개발자의 호기심과 깃허브 플랫폼에 대한 신뢰를 결합한 전형적인 사회공학 기반 공격"이라며 "개발자 PC가 감염될 경우 단순한 개인 피해를 넘어, 클라우드 API 키, CI/CD 파이프라인, 코드 저장소 접근 권한까지 연쇄적으로 노출되며 공급망 전체로 피해가 확산될 수 있다"고 말했다. </p>
          <p contents-hash="3ef5e3185eb26ff53af55eb0bb2961e86c187f7ad1673fd07ab2956c2a2c76e3" dmcf-pid="y14pNeXSU0" dmcf-ptype="general">이번 공격은 특히 개발자들의 관심도가 높은 주제를 겨냥해 계속되고 있다는 점에서 지속적인 관심과 주의가 필요하다. 최영삼 트렌드AI 상무는 "이번 공격의 배후 그룹은 올해 2월부터 25개 이상의 소프트웨어 브랜드를 사칭하며 동일한 악성코드를 반복 유포해온 조직적인 캠페인을 수행하고 있다"며 "이런 맥락에서 클로드 코드 소스 유출은 공격자 입장에서 가장 시의성 높은 미끼였다고 볼 수 있다"고 말했다. </p>
          <p contents-hash="83e83096ad3b43e22d3dde0b0ef3fe6d87efdc6f1f618d2c7caf84d4f7b96e35" dmcf-pid="Wt8UjdZvp3" dmcf-ptype="general">보안 업계는 이번 사건이 개발자 환경을 직접 겨냥했다는 점에서 공급망 공격으로 확산될 가능성을 경계하고 있다. 개발자 PC가 감염될 경우 깃허브 계정, 클라우드 API 키, CI/CD(지속적 통합·배포) 파이프라인 등으로 피해가 확장될 수 있기 때문이다.</p>
          <p contents-hash="20e6d42fb53394168bcd6484238519a7e64a157cfc74e9c7924010f16abf48f6" dmcf-pid="YF6uAJ5TuF" dmcf-ptype="general">최영삼 트렌드AI 상무는 "저장소가 차단되면 즉시 새 계정과 새로운 미끼로 공격을 재개하는 구조인 만큼, 이를 단발성 사고로 봐서는 안 되며, 개발자 도구와 AI 에이전트 사용 전반에 대한 조직 차원의 통제와 가시성 확보가 필요하다"고 조언했다.</p>
          <p contents-hash="648ee8f9dca771c192b2cde7c9901a42abe7f0e9db21a433b0cf88be9e072bda" dmcf-pid="G3P7ci1yzt" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기