취약점 없이도 뚫린다 — 오픈소스 개발자를 노린 '신뢰 기반' 공격의 실체

(cybersecuritynews.com)

2P by darjeeling 4시간전 | ★ favorite | 댓글 2개

오픈소스 개발자들이 새로운 유형의 위협에 직면하고 있다. 복잡한 익스플로잇이나 제로데이 취약점이 아닌, 개발자 커뮤니티의 "신뢰" 자체를 무기로 삼는 소셜 엔지니어링 공격이다.

공격자는 Slack에서 Linux Foundation의 실존 인물로 위장해 악성 파일을 설치하도록 유도하는 캠페인을 현재 진행 중이다.

사건 경위

이 공격은 2026년 4월 7일, OpenSSF(Open Source Security Foundation)의 CTO이자 수석 보안 설계자인 Christopher "CRob" Robinson이 OpenSSF Siren 메일링 리스트에 고위험 권고문을 게시하면서 처음 공개됐다.

공격의 무대는 리눅스 재단 산하 워킹 그룹인 TODO Group의 Slack 워크스페이스와 관련 오픈소스 커뮤니티였다. TODO Group은 오픈소스 프로그램 오피스(OSPO) 실무자들의 모임이다.

공격자는 잘 알려진 Linux Foundation 리더의 가짜 정체성을 정교하게 구축하고, 많은 개발자들이 신뢰하는 플랫폼인 Google Sites에 호스팅된 피싱 링크를 포함한 Slack DM을 피해자에게 전송했다.

Socket.dev 분석팀이 이 공격을 처음 조사하여 기술적 동작을 문서화했다. 조사 결과, 이는 단순한 피싱 시도가 아니라 오픈소스 커뮤니티 내에 자연스럽게 형성된 깊은 신뢰를 악용하도록 설계된 다단계 작전임이 확인됐다.

미끼: "당신 PR, 머지될지 미리 알 수 있어요"

공격자의 메시지는 매우 정교하게 설계됐다. Linux Foundation 리더를 사칭한 공격자는 오픈소스 프로젝트의 역학을 분석하고, 리뷰어가 보기도 전에 어떤 코드 기여(PR)가 머지될지 예측할 수 있는 독점 AI 툴을 소개했다.

메시지는 "지금은 소수에게만 공유하고 있다"는 희소성을 강조했고, 피싱 링크와 함께 가짜 이메일 주소 및 액세스 키를 제공해 가짜 워크스페이스를 진짜처럼 보이게 했다.

공격 단계별 분석

공격은 총 4단계로 진행된다:

1단계 — 신원 도용 (Impersonation)

Linux Foundation 실존 인물의 Slack 프로필을 복제해 신뢰를 구축.

2단계 — 피싱 (Phishing)

Google Sites에 호스팅된 피싱 링크 클릭 유도. 정상적인 인증 흐름처럼 보이는 가짜 페이지가 이메일 주소와 인증 코드를 탈취한다.

3단계 — 자격증명 수집 (Credential Harvesting)

자격증명 탈취 후, 피싱 사이트는 피해자에게 "Google 인증서"로 위장한 악성 루트 인증서 설치를 유도한다.

4단계 — 악성코드 배포 (Malware Delivery)

루트 인증서가 설치되면 공격자는 피해자 기기와 모든 웹사이트 간의 암호화된 트래픽을 조용히 가로챌 수 있게 된다.

플랫폼별 감염 메커니즘

macOS

악성 루트 인증서 설치 후, 스크립트가 원격 IP(2.26.97.61)에서 gapi라는 이름의 바이너리를 자동으로 다운로드하여 실행한다. 이 바이너리는 공격자에게 파일 접근, 추가 자격증명 탈취, 원격 명령 실행 등 기기의 완전한 제어권을 부여한다.

Windows

브라우저 신뢰 다이얼로그를 통해 악성 인증서 설치를 유도하며, 설치 후 동일하게 암호화 트래픽 가로채기가 가능해진다.

OpenSSF 권고사항

OpenSSF는 오픈소스 Slack 커뮤니티에 활동 중인 개발자들에게 다음을 권고했다:

대역 외(out-of-band) 신원 확인: Slack의 표시 이름이나 프로필 사진만으로 신원을 신뢰하지 말고, 별도의 알려진 채널을 통해 확인할 것
루트 인증서 설치 요청 거부: 채팅이나 이메일로 전달된 링크에서 루트 인증서 설치를 절대 하지 말 것. 정상적인 서비스는 이를 요청하지 않는다
MFA 활성화: 자격증명이 탈취되더라도 피해를 최소화할 수 있다