무슨 일이 있었나
영국 국가 사이버 보안 센터는 2026년 6월 4일 '소프트웨어 공급망 공격: 종속성 확인'이라는 제목의 기술 블로그 게시물을 발행했으며, 공격자가 npm 및 PyPI 패키지를 대규모로 손상시키는 방법을 문서화했고, 여러 NHS 프로젝트에 영향을 미친 2026년 5월 Mini Shai-hulud 공급망 공격을 참조했다. 이 가이드는 유지보수자 계정 손상, 버려진 패키지 인수, 타이포스쿼팅, 자가증식 등 4가지 공격자 기법을 다루며, 조직이 종속성을 감사하고, CI/CD 파이프라인 동작을 모니터링하고, 개발자 및 레지스트리 계정을 확인하고, 알려진 악성 패키지를 스캔하기 위한 단계별 프로세스를 제공한다.
왜 중요한가
Python과 Node.js는 AI/ML 파이프라인 및 에이전트 AI 오케스트레이션 프레임워크에서 주요 언어이므로, 오픈소스 패키지 관리자 손상은 직접적인 AI 공급망 공격 벡터이다. 이 지침의 NCSC Tier 1 발행 — 활동 중인 2026년 UK 공격 참조 — 이를 배경 인식에서 현재 운영 위협 권고로 격상시킨다. AI 라이브러리(LangChain, vLLM, Hugging Face datasets, LlamaIndex)를 자동 설치 및 자동 업데이트하는 CI/CD 파이프라인은 설명된 정확한 자가증식 메커니즘에 노출된다.
필요한 조치
보안 및 ML 엔지니어링 팀은 Python 및 Node.js 종속성 트리에 대해 NCSC의 권장 감사 프로세스를 즉시 실행해야 하며, CI/CD를 통해 자동 설치되는 AI/ML 라이브러리를 우선시해야 한다. 모든 패키지 레지스트리 유지보수자 계정에 MFA를 시행하고 모든 AI 모델 제공 및 에이전트 오케스트레이션 배포에 대한 소프트웨어 자재 명세서(SBOM)를 구현한다.