최근 자바스크립트 생태계를 겨냥한 공급망 해킹 사건이 암호화폐 업계에까지 영향을 미치고 있다. 사이버 보안 기업인 아이키도 시큐리티(Aikido Security)는 ‘샤이 훌루드(Shai Hulud)’라는 악성 코드가 수백 개의 소프트웨어 패키지를 감염시키며, 이 가운데 최소 10개가 암호화폐 프로젝트와 관련이 있다고 발표했다.
아이키도 시큐리티의 리서치 담당자인 찰리 에릭센(Charlie Eriksen)은 400개 이상의 의심스러운 패키지를 확인했으며, 감염 여부를 수작업으로 면밀히 검증해 ‘오탐(false positive)’을 줄였다고 전했다. 감염된 패키지는 자바스크립트 패키지 관리 시스템인 NPM 레지스트리를 통해 확산되고 있으며, 자기복제형 멀웨어의 특성을 지니고 있어 일반 개발자들이 별 의심 없이 다운로드하여 사용하고 있는 오픈 소스 패키지와 혼합되면서 신속하게 확산되고 있다.
특히 암호화폐 커뮤니티와 관련된 여러 패키지 또한 감염되었으며, 이들 중 상당수는 주간 다운로드 수가 수만 건에 달하는 인기 모듈이라는 점에서 위험성이 더욱 커졌다. 에릭센은 X(구 트위터)를 통해 이더리움 네임 서비스(ENS) 측에 감염 가능성에 대해 경고하며, ENS에서 사용하는 일부 패키지도 감염되었다고 지적했다. ENS는 이더리움 기반의 주소 서비스로, 많은 크립토 프로젝트와 NFT 마켓플레이스에서 핵심 인프라로 사용되고 있다.
이번 공급망 공격은 특정 조직을 겨냥하기보다는 널리 사용되는 개발 도구와 라이브러리에 악성 코드를 심어 간접적으로 침투하는 형식을 띠고 있다. 이 때문에 탐지가 더욱 어려워지고 피해 규모 또한 상당할 수 있어 보안 업계는 경계를 강화해왔다. 특히 오픈 소스를 기반으로 하는 암호화폐 프로젝트들이 제3자 패키지에 크게 의존하고 있는 만큼, 전체 시장의 긴장감은 급상승하고 있다.
암호화폐 개발자 및 기업들은 이번 사건을 계기로 의존하고 있는 외부 패키지의 안전성을 점검하고, 보안 프로토콜을 강화하는 조치를 취할 것으로 예상된다. 현재까지 피해 규모는 정확히 파악되지 않았지만, ENS와 같은 핵심 서비스가 영향을 받은 만큼 장기적인 여파가 있을 것으로 보인다.
이번 사태는 개방형 웹 생태계의 근본인 오픈 소스가 해킹의 주요 대상이 되면서 탈중앙화 기술의 취약성이 드러난 사례로, 특히 스마트 계약이나 지갑 백엔드에 널리 사용되는 패키지가 감염된다면 사용자 자산에 큰 위협이 될 수 있다.
따라서 각 프로젝트별 의존 패키지 목록을 점검하고, 신규 코드가 포함된 외부 라이브러리 사용 시 추가적인 보안 절차를 마련해야 하며, ENS와 같은 주요 인프라에 대해서는 집중적인 취약점 진단이 필요할 것이다. 이런 조치들을 통해 암호화폐 분야에서 신뢰성과 보안성을 확립하는 것이 절실한 상황이다.
