“보안 도구에 오픈클로까지”… 개발자 노린 공급망 공격 잇따라

개발자 생태계를 노리는 공급망 공격이 잇따르고 있다. 보안 점검 도구와 오픈소스 코드 저장소 등 여러 조직이 공통으로 사용하는 경로가 공격 대상이 되면서 피해 확산 우려도 커지고 있다.이달 중순 인기 오픈소스 보안 도구 ‘트리비(Trivy)’가 해킹돼 악성 코드 유포 통로로 악용되는 사건이 발생했다. 취약점 점검에 사용되던 도구가 오히려 클라우드 자격 증명을 탈취하는 공격 경로로 바뀐 것이다. 트리비는 클라우드 보안 기업 아쿠아시큐리티(Aqua Security)가 개발·운영하는 오픈소스 보안 스캐너로, 컨테이너와 클라우드 환경 취약