AI가 짜준 코드 누가 검증?…오픈소스 공급망 보안 '경고등'

악성 오픈소스 패키지 급증…개발 과정 노린 공격 확산
정부도 SW 공급망 보안 로드맵…중소 SW기업 부담 커질 듯

생성형 AI 코딩 도구 확산으로 오픈소스 패키지 활용이 늘면서 소프트웨어 공급망 보안 관리 중요성이 커지고 있다. 사진은 생성형 AI로 만든 이미지. ⓒ 뉴스1 김민수 기자

(서울=뉴스1) 김민수 기자 = 생성형 인공지능(AI)이 소프트웨어 개발 현장으로 빠르게 들어오면서 오픈소스 공급망 보안이 새 과제로 떠오르고 있다.

AI 코딩 도구가 코드 작성과 오류 수정, 외부 라이브러리 활용까지 돕기 시작하면서 개발 속도는 빨라졌지만, 검증되지 않은 오픈소스 패키지가 소프트웨어에 섞일 위험도 커졌기 때문이다.

10일 업계에 따르면 글로벌 보안기업 소나타입은 '2026 소프트웨어 공급망 현황 보고서'에서 2025년 새로 식별한 악성 오픈소스 패키지가 45만 4600개를 넘었다고 밝혔다. 보고서가 분석한 악성 패키지는 123만 3000개 이상이다.

소나타입은 npm, PyPI, 메이븐 센트럴, 누겟, 허깅페이스 등 주요 오픈소스 저장소에서 악성 패키지가 발견됐다고 밝혔다. 오픈소스 저장소가 개발자들이 매일 이용하는 개발 인프라가 된 만큼 공격자들이 이 경로를 노리고 있다는 의미다.

리버싱랩스도 '2026 소프트웨어 공급망 보안 보고서'에서 2025년 악성 오픈소스 패키지 탐지가 전년보다 73% 증가했다고 밝혔다. 보고서는 공격자가 오픈소스 저장소에 악성 패키지를 올리거나 패키지 관리자 계정을 탈취하는 방식으로 공격 범위를 넓히고 있다고 분석했다.

빨라진 개발, 늦어지는 검증

오픈소스 패키지는 소프트웨어를 만들 때 가져다 쓰는 일종의 '부품'이다. 개발자는 모든 기능을 직접 만들지 않고 공개 저장소에서 필요한 패키지를 내려받아 쓴다. 웹서비스, 모바일 앱, 클라우드 시스템, AI 서비스 상당수는 이런 외부 부품을 활용한다.

문제는 이 부품이 공격 통로가 될 수 있다는 점이다. 공격자가 정상 패키지와 이름이 비슷한 악성 패키지를 올리거나, 기존 패키지 관리자 계정을 탈취해 악성코드를 심으면 이를 가져다 쓴 서비스까지 위험해질 수 있다. 이를 소프트웨어 공급망 공격이라고 부른다.

최근 공급망에 대한 공격은 완성된 서비스만 노리지 않는다. 개발자 PC와 코드 저장소, 빌드·배포 시스템도 공격 대상이 된다. 개발자 계정이나 클라우드 접속 정보가 탈취되면 같은 코드를 쓰는 여러 서비스와 고객사로 피해가 번질 수 있다.

AI 코딩 도구 확산은 이런 문제를 더 복잡하게 만든다. 개발자는 AI가 제안한 코드나 예시를 빠르게 적용할 수 있지만, 이 과정에서 외부 패키지의 출처와 취약점, 라이선스 문제까지 매번 확인하기는 어렵다. 개발 속도는 빨라졌지만 보안 검증이 따라가지 못하면 공급망 안으로 악성코드나 취약한 부품이 들어갈 여지가 생긴다.

공공납품까지 번지는 공급망 관리

취약점 악용도 주요 침투 경로로 부상했다. 버라이즌의 '2026 데이터 침해 조사 보고서(DBIR)'는 데이터 침해 사례의 31%가 소프트웨어 취약점 악용에서 시작됐다고 분석했다.

국내에서도 소프트웨어 공급망 보안은 정책 과제로 떠올랐다. 과학기술정보통신부와 국가정보원은 지난달 'AI 일상화 시대를 준비하는 SW 공급망 보안 강화 로드맵'을 발표했다. 로드맵은 공급망 위협 예방 역량 강화, 신속한 탐지·대응체계 마련, 정책·제도 기반 조성을 주요 전략으로 제시했다.

로드맵에는 개발·공급 단계부터 보안을 내재화하고, 소프트웨어 부품명세서(SBOM)를 활용한 공급망 보안 관리 모델을 확산하는 내용도 담겼다. 공공납품 정보통신제품의 안보 위해 여부 검증·대응 방안도 마련하기로 했다.

SBOM은 소프트웨어에 어떤 오픈소스와 외부 모듈이 들어갔는지 정리한 목록이다. 취약점이 발견됐을 때 영향을 받는 제품과 서비스를 빠르게 찾아내기 위한 장치다.

다만 별도 보안 인력과 자동화 도구를 갖추지 못한 중소 소프트웨어 기업에는 대응 체계를 구축하는 것이 과제가 될 수 있다. 대기업이나 공공기관 납품 과정에서 SBOM 제출과 오픈소스 취약점 관리 요구가 늘 경우, 이를 관리할 체계가 필요하기 때문이다.

KISA도 올해 공급망 보안 모델 구축 지원사업을 통해 개발·제조·공급·운영 기업과 기관의 SBOM 기반 보안관리 체계 구축을 지원하고 있다.

AI 코딩 도구는 소프트웨어 개발의 병목을 줄이는 동시에 보안의 출발점을 앞당기고 있다. 완성된 서비스에서 취약점을 찾는 방식만으로는 빨라진 개발 속도를 따라가기 어렵다. 이제는 코드가 만들어지는 순간부터 어떤 외부 부품이 들어갔는지 확인하고, 위험한 부품을 걸러내는 관리 체계를 갖추는 것이 공급망 보안의 핵심 과제가 됐다.

kxmxs4104@news1.kr