요약: 구글은 2026년 3월 31일, 북한과 연계된 것으로 추정되는 해킹 그룹이 웹과 앱의 일반적인 기능을 뒤에서 지원하는 오픈 소스 소프트웨어 ‘Axios’의 업데이트에 악성 코드를 추가해 로그인 정보 등 접근 자격증명을 탈취하려 했다고 밝혔다. 이 공격은 소프트웨어 공급망을 통한 침투로 분류되며, 악성 소프트웨어는 이후 제거되었으나 다운스트림에 위치한 수많은 시스템에 전달될 가능성을 가졌다.
2026년 3월 31일, 로이터의 보도에 따르면 구글의 위협 인텔리전스 그룹은 이번 공격을 UNC1069라는 그룹과 연계해 분석 결과를 발표했다. 구글은 이 그룹이 최소 2018년부터 활동해왔으며, 암호화폐와 금융 산업을 주된 표적으로 삼아온 것으로 알려져 있다고 전했다. 구글의 위협 인텔리전스 수석 애널리스트인 존 헐스트퀴스트(John Hultquist)는 성명에서 “북한 해커들은 암호화폐를 훔치기 위해 주로 공급망 공격에 대한 풍부한 경험을 보유하고 있다“고 밝혔다.
구글의 발표와 독립적인 사이버 보안 연구자들의 분석에 따르면, 해커들은 Axios의 월요일 배포된 업데이트에 자신들의 악성 소프트웨어를 추가했다. Axios는 애플리케이션과 웹 서비스 간 연동을 연결해주는 라이브러리로, 많은 웹사이트와 모바일 앱에서 사용자 경험을 위해 배경에서 널리 사용된다. SentinelOne의 수석 연구원 톰 헤겔(Tom Hegel)은 “
웹사이트를 불러오거나 은행 잔고를 확인하거나 휴대폰에서 앱을 열 때마다 Axios가 배경에서 작동하고 있을 가능성이 크다
“고 설명했다.
공격의 기술적 성격: 사이버보안 업체인 Elastic Security의 분석에 따르면 해커들은 macOS, Windows, Linux용 변형을 포함한 여러 운영체제에서 동작 가능한 악성 코드를 제작했다. 이 악성 코드는 시스템 내의 데이터를 탈취할 수 있는 권한을 획득할 여지가 있었으며, 특히 사용자 계정의 접근 자격증명(로그인 정보·credentials)을 빼내면 추가적인 데이터 탈취나 연쇄 공격에 활용될 수 있었다. Elastic은 이번 공격의 전달 메커니즘이 “수백만 개 환경에 도달할 잠재력을 가진 전달 수단을 획득했다”고 평가했다. 다만 악성 소프트웨어가 몇 회 다운로드되었는지는 명확하지 않다.
공급망 공격이란? 많은 일반 독자들이 낯설어할 수 있는 개념인 공급망 공격(supply chain attack)은 소프트웨어를 직접 사용하는 최종 대상 대신, 그 소프트웨어를 제공하거나 유지·관리하거나 업데이트하는 경로를 통해 악성 코드를 주입하는 방식이다. 이번 사건처럼 오픈 소스 라이브러리에 악성이 섞여 배포되면, 해당 라이브러리를 신뢰하고 사용하는 수많은 웹사이트와 앱이 자동으로 감염 위험에 노출된다. 쉽게 말해, 사용자가 별도의 실수나 클릭을 하지 않더라도 “이미 신뢰했던 소프트웨어가 대신 공격을 실행”할 수 있다. SentinelOne의 헤겔은 “당신은 아무 것도 클릭할 필요가 없다. 이미 신뢰하던 소프트웨어가 대신 해주었다“고 지적했다.
Axios와 오픈 소스의 특성: Axios는 상업적 독점 제품이 아니라 오픈 소스로 개발된 소프트웨어로, 누구나 코드를 볼 수 있고 라이선스에 따라 수정·재배포할 수 있다. 이러한 개방성은 개발자 생태계의 혁신을 촉진하지만 동시에 악성 코드가 삽입될 경우 광범위한 영향 확산이라는 리스크를 동반한다. 이번 경우 개발자 측은 즉각적인 변조 제거 조치를 취했고, 해당 악성 코드는 이후 제거되었다는 보고가 나왔다.
정책적·안보적 맥락: 구글은 이 공격을 북한과 연계된 것으로 판단했다. 미국 정부는 북한이 훔친 암호화폐를 무기 프로그램 자금 조달과 제재 회피에 사용하는 것으로 보고 있다. 구글의 헐스트퀴스트는 “북한 해커들이 공급망 공격 경험이 깊다”고 언급하면서 이들이 주로 암호화폐를 탈취하기 위해 그러한 전술을 사용한다고 설명했다. 북한의 유엔 대표부는 이 사건에 대해 즉각적인 응답을 하지 않았다.
파급 효과와 실무적 시사점: 이번 사건은 여러 실무적, 경제적 시사점을 던진다. 첫째, 오픈 소스 소프트웨어의 광범위한 채택은 운영 비용 절감과 개발 속도 향상에 기여하지만, 공급망 보안의 중요성도 함께 커졌다. 둘째, 금융·암호화폐 관련 기업은 특히 민감한 자격증명과 키 관리를 강화해야 한다. 셋째, 대규모 인프라 제공자와 클라우드 서비스 업체는 서드파티 라이브러리 의존도를 점검하고, 신속한 패치 배포 및 이상 징후 탐지 체계를 강화해야 한다.
경제적 영향 분석: 단기적으로는 이 사건 자체가 시장 전반의 즉각적인 변동성을 촉발할 가능성은 크지 않다. 다만 사이버보안 관련 기업 주가에는 긍정적 수요 요인이 될 수 있다. 공급망 공격이 빈번해질수록 기업들은 보안 솔루션과 관리 서비스에 더 많은 예산을 할당할 가능성이 높다. 암호화폐 시장의 경우, 북한과 연계된 해킹 사례가 반복되면 규제 당국의 감독 강화와 거래소의 보안 비용 증가로 연결될 수 있으며, 이는 거래 비용과 운영 리스크를 상승시킬 우려가 있다. 장기적으로는 오픈 소스 생태계의 신뢰 회복을 위한 인증·서명 체계, 제3자 감사, 자동화된 취약점 탐지 기술에 대한 수요가 증가할 것으로 전망된다.
전문가 권고: 기관과 기업은 서드파티 컴포넌트 관리(Third-Party Component Management) 정책을 강화하고, 서명된 배포(verified signatures)와 무결성 검증 절차를 표준화해야 한다. 또한, 중요한 자격증명은 비밀관리시스템(secret management)으로 이관하고, 최소 권한 원칙을 적용하며 주기적인 회전(rotations)을 시행해야 한다. 보안 침해 발생 시 대응을 위해서는 침해사고 대응 계획(IRP)을 사전에 마련하고, 포렌식·통보·복구 절차를 명확히 해둘 필요가 있다.
결론: 이번 Axios 공급망 침해 사건은 오픈 소스 생태계의 보안 취약성과 공급망 공격의 파급력을 다시 한 번 부각시켰다. 악성 소프트웨어는 제거되었으나, 이미 이를 통해 탈취되었을 가능성이 있는 자격증명과 데이터에 대한 면밀한 조사와 추가적인 보안 보완 조치는 필수적이다. 기업과 개발자는 오픈 소스 컴포넌트의 신뢰성 검증과 배포 경로의 보안 확보를 우선순위로 두어야 할 것이다.
