로그인
보증업체
스포츠중계
스포츠분석
먹튀사이트
지식/노하우
판매의뢰
업체홍보/구인
뉴스
커뮤니티
포토
포인트
보증카지노
보증토토
보증홀덤
스포츠 중계
기타
축구
야구
농구
배구
하키
미식축구
카지노 먹튀
토토 먹튀
먹튀제보
카지노 노하우
토토 노하우
홀덤 노하우
기타 지식/노하우
유용한 사이트
제작판매
제작의뢰
게임
구인
구직
총판
제작업체홍보
실시간뉴스
스포츠뉴스
연예뉴스
IT뉴스
자유게시판
유머★이슈
동영상
연예인
섹시bj
안구정화
출석하기
포인트 랭킹
포인트 마켓
로그인
자동로그인
회원가입
정보찾기
뉴스
더보기
[실시간뉴스]
[단독] 정부 ‘청년 참여소득’ 검토…쉬었음·은둔 청년 사회참여 땐 급여 지급
N
[실시간뉴스]
SK하이닉스, 美 ADR 상장 '디데이'…'밸류 재평가' 시험대 오른다
N
[실시간뉴스]
[뉴욕증시]SK하이닉스 상장 앞두고 반도체 랠리…일제히 상승 마감
N
[실시간뉴스]
서울 등 전국 곳곳 비 이어져…경기북부 최대 150㎜ 폭우(종합)
N
[실시간뉴스]
美상무장관, 마이크론 행사서 "삼성·하이닉스 美생산확대" 촉구(종합)
N
커뮤니티
더보기
[자유게시판]
드디어 금요일이군요
[자유게시판]
오늘 다저스 어떻게 생각하시나요
[자유게시판]
하아 댓노
[자유게시판]
식곤증지립니다요
[자유게시판]
벌써 불금이네요
목록
글쓰기
[IT뉴스]AI가 짜준 코드 누가 검증?…오픈소스 공급망 보안 '경고등'
온카뱅크관리자
조회:
3
2026-07-10 06:07:29
<div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">악성 오픈소스 패키지 급증…개발 과정 노린 공격 확산<br>정부도 SW 공급망 보안 로드맵…중소 SW기업 부담 커질 듯</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="FtBL8FMVZf"> <figure class="figure_frm origin_fig" contents-hash="3d7e77c92705b18ac433674f6a3d2452e10189a1178f6cf0aad6c17c33f7ade6" dmcf-pid="3Fbo63Rf5V" dmcf-ptype="figure"> <p class="link_figure"><img alt="생성형 AI 코딩 도구 확산으로 오픈소스 패키지 활용이 늘면서 소프트웨어 공급망 보안 관리 중요성이 커지고 있다. 사진은 생성형 AI로 만든 이미지. ⓒ 뉴스1 김민수 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202607/10/NEWS1/20260710060250663chve.jpg" data-org-width="1400" dmcf-mid="tfdIN4EoZ4" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202607/10/NEWS1/20260710060250663chve.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 생성형 AI 코딩 도구 확산으로 오픈소스 패키지 활용이 늘면서 소프트웨어 공급망 보안 관리 중요성이 커지고 있다. 사진은 생성형 AI로 만든 이미지. ⓒ 뉴스1 김민수 기자 </figcaption> </figure> <p contents-hash="1b8e4fc1d9921bf04ea0a3b3b7fd9e292285b79587b2bc14141fd8a230c813c5" dmcf-pid="03KgP0e4Y2" dmcf-ptype="general">(서울=뉴스1) 김민수 기자 = 생성형 인공지능(AI)이 소프트웨어 개발 현장으로 빠르게 들어오면서 오픈소스 공급망 보안이 새 과제로 떠오르고 있다.</p> <p contents-hash="eb9ffe5f49a9f2028e9292cb6700e7c2e8b718caa3e074dc19657ed360447a67" dmcf-pid="p09aQpd8Y9" dmcf-ptype="general">AI 코딩 도구가 코드 작성과 오류 수정, 외부 라이브러리 활용까지 돕기 시작하면서 개발 속도는 빨라졌지만, 검증되지 않은 오픈소스 패키지가 소프트웨어에 섞일 위험도 커졌기 때문이다.</p> <p contents-hash="56f7e9517afde4b07bf83d12d38c658e0a1ff876edfd9898256bf5610e644d27" dmcf-pid="UjO0yAXSXK" dmcf-ptype="general">10일 업계에 따르면 글로벌 보안기업 소나타입은 '2026 소프트웨어 공급망 현황 보고서'에서 2025년 새로 식별한 악성 오픈소스 패키지가 45만 4600개를 넘었다고 밝혔다. 보고서가 분석한 악성 패키지는 123만 3000개 이상이다.</p> <p contents-hash="19b0e662649f8dfc9a618f34c74d2b40fc7c1b8102432fd05213e47ef91e98b6" dmcf-pid="uAIpWcZvZb" dmcf-ptype="general">소나타입은 npm, PyPI, 메이븐 센트럴, 누겟, 허깅페이스 등 주요 오픈소스 저장소에서 악성 패키지가 발견됐다고 밝혔다. 오픈소스 저장소가 개발자들이 매일 이용하는 개발 인프라가 된 만큼 공격자들이 이 경로를 노리고 있다는 의미다.</p> <p contents-hash="fdadf9fd44e49cf8f1436224bd7de549b69e0c3ffb7bfe901056f8a9fadc538f" dmcf-pid="7cCUYk5T5B" dmcf-ptype="general">리버싱랩스도 '2026 소프트웨어 공급망 보안 보고서'에서 2025년 악성 오픈소스 패키지 탐지가 전년보다 73% 증가했다고 밝혔다. 보고서는 공격자가 오픈소스 저장소에 악성 패키지를 올리거나 패키지 관리자 계정을 탈취하는 방식으로 공격 범위를 넓히고 있다고 분석했다.</p> <h3 contents-hash="3f6169b9938c08177de28b85aae0653858f4fcc71e5b291d117674d43478946b" dmcf-pid="zkhuGE1yYq" dmcf-ptype="h3">빨라진 개발, 늦어지는 검증</h3> <p contents-hash="0a3bb6893ab09c52ab87e74b3c5ac48c5e3192b474608c0beedf98ac43a14f0c" dmcf-pid="qEl7HDtWZz" dmcf-ptype="general">오픈소스 패키지는 소프트웨어를 만들 때 가져다 쓰는 일종의 '부품'이다. 개발자는 모든 기능을 직접 만들지 않고 공개 저장소에서 필요한 패키지를 내려받아 쓴다. 웹서비스, 모바일 앱, 클라우드 시스템, AI 서비스 상당수는 이런 외부 부품을 활용한다.</p> <p contents-hash="7f8fdda96466ba8fe693d2164323f6d8c546d952bd714d932acb5a5a3d61c262" dmcf-pid="BDSzXwFY17" dmcf-ptype="general">문제는 이 부품이 공격 통로가 될 수 있다는 점이다. 공격자가 정상 패키지와 이름이 비슷한 악성 패키지를 올리거나, 기존 패키지 관리자 계정을 탈취해 악성코드를 심으면 이를 가져다 쓴 서비스까지 위험해질 수 있다. 이를 소프트웨어 공급망 공격이라고 부른다.</p> <p contents-hash="b3d25c6183effa4475d7eb476b415c6d6fbfe8572ea6eef0e2f754086ee0dcaf" dmcf-pid="bwvqZr3GZu" dmcf-ptype="general">최근 공급망에 대한 공격은 완성된 서비스만 노리지 않는다. 개발자 PC와 코드 저장소, 빌드·배포 시스템도 공격 대상이 된다. 개발자 계정이나 클라우드 접속 정보가 탈취되면 같은 코드를 쓰는 여러 서비스와 고객사로 피해가 번질 수 있다.</p> <p contents-hash="00afd40852fd1f710ddcedfa9d632820fb6cbc7d3d69c0f11486029feb2e0205" dmcf-pid="KrTB5m0H5U" dmcf-ptype="general">AI 코딩 도구 확산은 이런 문제를 더 복잡하게 만든다. 개발자는 AI가 제안한 코드나 예시를 빠르게 적용할 수 있지만, 이 과정에서 외부 패키지의 출처와 취약점, 라이선스 문제까지 매번 확인하기는 어렵다. 개발 속도는 빨라졌지만 보안 검증이 따라가지 못하면 공급망 안으로 악성코드나 취약한 부품이 들어갈 여지가 생긴다.</p> <h3 contents-hash="c1c7046be5669aa8c76a4ad2a59722b38228431187097b533595b995d14148d5" dmcf-pid="9myb1spXGp" dmcf-ptype="h3">공공납품까지 번지는 공급망 관리</h3> <p contents-hash="8f1e9b80fc8e5d0803589dd567d820764b6fe77113297443644a5c0252e202ad" dmcf-pid="21qn4tx250" dmcf-ptype="general">취약점 악용도 주요 침투 경로로 부상했다. 버라이즌의 '2026 데이터 침해 조사 보고서(DBIR)'는 데이터 침해 사례의 31%가 소프트웨어 취약점 악용에서 시작됐다고 분석했다.</p> <p contents-hash="67414746d8b85b87ee47d8af421897eba7e0e2d450269eef146162ddc6cd0843" dmcf-pid="VtBL8FMVY3" dmcf-ptype="general">국내에서도 소프트웨어 공급망 보안은 정책 과제로 떠올랐다. 과학기술정보통신부와 국가정보원은 지난달 'AI 일상화 시대를 준비하는 SW 공급망 보안 강화 로드맵'을 발표했다. 로드맵은 공급망 위협 예방 역량 강화, 신속한 탐지·대응체계 마련, 정책·제도 기반 조성을 주요 전략으로 제시했다.</p> <p contents-hash="f90873622cfbce5c853d46fc0b4c3570d30bddabd4d7a7177bb362ff480a4523" dmcf-pid="fFbo63RftF" dmcf-ptype="general">로드맵에는 개발·공급 단계부터 보안을 내재화하고, 소프트웨어 부품명세서(SBOM)를 활용한 공급망 보안 관리 모델을 확산하는 내용도 담겼다. 공공납품 정보통신제품의 안보 위해 여부 검증·대응 방안도 마련하기로 했다.</p> <p contents-hash="9af2e5ae9d060d98b27c9e3f6a2d22a9290a3c4c5afde00436cde0c64188054a" dmcf-pid="43KgP0e4tt" dmcf-ptype="general">SBOM은 소프트웨어에 어떤 오픈소스와 외부 모듈이 들어갔는지 정리한 목록이다. 취약점이 발견됐을 때 영향을 받는 제품과 서비스를 빠르게 찾아내기 위한 장치다.</p> <p contents-hash="db9038d84d92cebf3b1ac147506f52bb29026e38122608f31ac520f0210497a1" dmcf-pid="809aQpd851" dmcf-ptype="general">다만 별도 보안 인력과 자동화 도구를 갖추지 못한 중소 소프트웨어 기업에는 대응 체계를 구축하는 것이 과제가 될 수 있다. 대기업이나 공공기관 납품 과정에서 SBOM 제출과 오픈소스 취약점 관리 요구가 늘 경우, 이를 관리할 체계가 필요하기 때문이다.</p> <p contents-hash="880f1fbf09d2c9a7bea51121080b9e3d4dbf376308007208b641fa979c374422" dmcf-pid="6p2NxUJ6Y5" dmcf-ptype="general">KISA도 올해 공급망 보안 모델 구축 지원사업을 통해 개발·제조·공급·운영 기업과 기관의 SBOM 기반 보안관리 체계 구축을 지원하고 있다.</p> <p contents-hash="afbb0d75c7cac2509e91f59cf292583296110b036492f3d5b91cec38d5df56fd" dmcf-pid="PUVjMuiPXZ" dmcf-ptype="general">AI 코딩 도구는 소프트웨어 개발의 병목을 줄이는 동시에 보안의 출발점을 앞당기고 있다. 완성된 서비스에서 취약점을 찾는 방식만으로는 빨라진 개발 속도를 따라가기 어렵다. 이제는 코드가 만들어지는 순간부터 어떤 외부 부품이 들어갔는지 확인하고, 위험한 부품을 걸러내는 관리 체계를 갖추는 것이 공급망 보안의 핵심 과제가 됐다.</p> <p contents-hash="8f659467d3d95e27145f3faeef7a6a8912e53fc49fa4e99f3724cdbd1a88c9e3" dmcf-pid="QufAR7nQtX" dmcf-ptype="general">kxmxs4104@news1.kr<br><br><strong><용어설명></strong><br><br>■ 오픈소스 패키지<br>소프트웨어를 만들 때 가져다 쓰는 공개 부품이다. 개발자가 모든 기능을 직접 만들지 않고, 이미 공개된 코드 묶음을 내려받아 서비스에 붙여 쓴다. npm, PyPI, 메이븐 센트럴 등이 대표적인 오픈소스 패키지 저장소다.<br><br>■ 소프트웨어 공급망 공격<br>소프트웨어가 만들어지고 배포되는 과정에 끼어드는 공격이다. 공격자가 악성 오픈소스 패키지를 올리거나 기존 패키지를 변조하면, 이를 가져다 쓴 개발자와 서비스까지 피해를 볼 수 있다. 자동차 부품 하나가 불량이면 완성차 전체가 위험해지는 것과 비슷하다.<br><br>■ SBOM<br>소프트웨어 부품명세서(Software Bill of Materials)의 줄임말이다. 소프트웨어 안에 어떤 오픈소스, 라이브러리, 외부 모듈이 들어갔는지 적어둔 목록이다. 특정 부품에서 취약점이 발견됐을 때 어떤 제품과 서비스가 영향을 받는지 빠르게 찾는 데 쓰인다.<br><br> </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p>
댓글등록
댓글 총
0
개
맨위로
이번주
포인트
랭킹
매주 일요일 밤 0시에 랭킹을 초기화합니다.
1
4,000
상품권
2
3,000
상품권
3
2,000
상품권
업체홍보/구인
더보기
[구인]
유투브 BJ 구인중이자나!완전 럭키비키자나!
[구인]
에카벳에서 최대 조건으로 부본사 및 회원님들 모집합니다
[구인]
카지노 1번 총판 코드 내립니다.
[구인]
어느날 부본사 총판 파트너 모집합니다.
[구인]
고액전용 카지노 / 헬렌카지노 파트너 개인 팀 단위 모집중 최고우대
지식/노하우
더보기
[카지노 노하우]
혜택 트렌드 변화 위험성 다시 가늠해 보기
[카지노 노하우]
호기심이 부른 화 종목 선택의 중요성
[카지노 노하우]
카지노 블랙잭 카드 조합으로 히트와 스탠드를 결정하는 방법
[카지노 노하우]
흥부가 놀부될때까지 7
[카지노 노하우]
5월 마틴하면서 느낀점
판매의뢰
더보기
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
포토
더보기
채팅하기