리플의 공식 Node Package Manager(NPM) 라이브러리에 악성 코드가 주입된 사건으로 인하여 XRP 지갑의 개인 키가 탈취될 위험이 제기되었다. 이 취약점은 Aikido Security에 의해 처음 경고되었고, 이후 리플의 CTO인 데이비드 슈왈츠에 의해 인정되면서 XRP 생태계 내 소프트웨어 보안에 대한 우려가 커졌다.
리플은 침해 사건에 신속하게 대응했지만, 이러한 상황은 블록체인 전문가인 피터 토드의 날카로운 비판을 불러일으켰다. 그는 10년 전 리플의 소프트웨어가 PGP로 서명되지 않아 리플의 백도어 위험을 경고했던 것을 다시 언급하며, 이번 NPM 침해 사건이 그 우려가 현실이 되었음을 상기시켰다. “10년 전 제가 지적했던 리플 백도어 위험이 이번 NPM 침해로 드러났다”고 토드는 언급했다.
이 문제는 리플이 소프트웨어 출시 시 PGP 서명을 검증하지 않거나 다운로드한 소프트웨어를 인증할 수 있는 안전한 방법을 제공하지 않은 점에서 기인한다. 당시 그는 이런 실수가 악의적인 행위자들이 백도어를 주입하는 결과로 이어질 수 있다고 경고했으며, 그 예측이 사실로 드러난 것이다.
이번 보안 사고는 오픈 소스 공급망 보안에 대한 논의를 다시 촉발시키고 있다. 분산 네트워크가 신뢰할 수 있는 코드 배포와 검증된 업데이트에 크게 의존하는 암호화폐 세계에서 이러한 문제는 반복적으로 등장해왔다.
비록 이번 취약점이 조기에 발견되어 큰 피해로 이어지지 않았지만, 토드의 논평은 리플의 보안 관행 및 산업 전반에 걸쳐 보다 엄격한 소프트웨어 검증 기준을 요구하는 목소리를 낳았다. 디지털 자산의 가치가 계속 상승함에 따라, 안전한 개발 관행의 중요성 또한 한층 더 부각되고 있다. 이번 사건은 성숙한 블록체인 생태계도 소프트웨어 공급망의 위협에 취약할 수 있다는 점을 상기시켜준다.
