흔들리는 소프트웨어 공급망, 기업이 신뢰할 수 있는 보안 전략은?

🚨신뢰의 배신: 우리가 직면한 공급망 보안의 실체

오늘날 소프트웨어의 90% 이상은 오픈소스로 구성됩니다. 하지만 우리가 신뢰해온 이 생태계는 지금 거대한 위협에 직면해 있습니다. 2025년 12월 발견된 리액트투쉘(React2Shell, CVE-2025-55182) 취약점은 그 위기의 정점입니다. 별도의 설정 오류 없이도 기본 설정(Default)만으로 서버 장악이 가능한 이 취약점은 국내에서만 약 19만 대의 서버를 공격 위험에 노출시켰습니다.

위협은 지능화되고 있습니다. 미국 보안기업 Sonatype에 따르면, 2025년 2분기 신규 악성 패키지는 전년 동기 대비 188% 급증한 16,279개가 등록되었습니다. 특히 Hugging Face, GitHub, NPM(Node Package Manager) 등 개발자들이 신뢰하는 플랫폼이 주요 경로로 악용되고 있습니다. 최근에는 북한 해킹 조직이 NPM에 197개의 악성 패키지를 유포하거나, GitHub 계정을 탈취해 보안 토큰을 유출하는 'Ghost Action'이 발견되기도 했습니다. 심지어 제조 단계부터 백도어가 탑재된 'BadBox 2.0' 사례는 하드웨어 공급망까지 오염되었음을 증명합니다. 단 한 번의 오염은 기업 신인도를 무너뜨리고 천문학적인 경제적 손실로 이어집니다.

⚙️한계에 부딪힌 대안들: 패치 지옥과 AI의 역설

지금까지 기업들은 취약점을 탐지하고 사후에 패치하는 '반응형(Reactive) 모델'에 의존해 왔습니다. 하지만 리액트투쉘처럼 PoC(개념증명)가 유포되는 즉시 실전 공격이 시작되는 환경에서 이러한 방식은 늘 한발 늦을 수밖에 없습니다.

또한 AI 기반 코드 생성이 확산되며 새로운 리스크가 발생하고 있습니다. GitLab 조사에 따르면 개발자의 97%가 AI를 사용하지만, 73%가 보안 취약점을 경험했습니다. 생산성 향상에 가려진 보안 공백이 공격자의 성공 확률을 높이고 있는 것입니다.

효과적인 수단으로 강조되는 소프트웨어 구성 요소의 투명한 목록인 SBOM(Software Bill of Materials, 소프트웨어 자재 명세서) 역시 단순한 목록 작성만으로는 부족합니다. 정기적인 재분석과 실시간 추적 관리가 뒷받침되지 않는다면, 오염된 장비나 라이브러리를 걸러내는 데 한계가 명확하기 때문입니다.

매일 쏟아지는 수만 개의 취약점(CVE) 알람 속에서 엔지니어들이 '패치'라는 불을 끄느라 제품 혁신에 투입되지 못하는 상황은 심각한 경영 손실입니다. 실제로 글로벌 시장 조사 기관인 G2의 리포트에 따르면, 소프트웨어 구매자의 81%가 벤더의 보안 이력을 제품 평가의 핵심 요소로 고려하고 있습니다.

💡패러다임의 전환: 사후 패치에서 선제적 면역으로

이러한 구조적 한계를 극복하기 위해 글로벌 소프트웨어 공급망 보안 솔루션 ‘체인가드(Chainguard)’는 사후 대응이 아닌, 처음부터 병원균이 없는 환경을 구축하는 ‘Secure-by-default’ 전략을 선택했습니다. 이를 통해 보안 패치에 투입되던 막대한 운영 비용을 제품 혁신과 비즈니스 가치 창출로 전환하는 전략적 기반을 마련할 수 있습니다.

* Zero CVE 클린 이미지: 취약점이 이미 제거된 1,700개 이상의 버그 프리(Bug-free) 이미지를 공급망의 시작점에 배치합니다.

특히 컨테이너 환경에 최적화된 최소 운영체제 ‘Wolfi’를 기반으로 매일 이미지를 다시 빌드하여 최신 보안 상태를 유지합니다.

* 디스트롤리스(Distroless) 및 비루트(Non-root) 설정: 리액트투쉘 공격의 핵심인 원격 코드 실행(RCE)을 차단하기 위해 쉘(Shell)과 패키지 매니저를 제거했습니다.

또한 모든 이미지는 기본적으로 비루트 사용자로 실행되도록 설정되어, 침투가 발생하더라도 관리자 권한 탈취를 원천 봉쇄합니다.

* 디지털 서명과 투명성 로그: Sigstore 기술을 활용해 이미지의 무결성을 보장하고 소프트웨어의 위변조 가능성을 차단합니다.

이는 북한발 악성 패키지나 ‘Ghost Action’ 같은 공격으로부터 빌드 프로세스를 보호하며, 글로벌 보안 표준인 SLSA 등급을 충족하는 신뢰할 수 있는 경로를 제공합니다.

[보안 패러다임 비교표]

출처=플래티어

🧪플래티어의 보안 거버넌스

혁신적 보안 체계는 단순히 도구 도입만으로 완성되지 않습니다. 플래티어는 체인가드와의 공식 파트너십을 통해 국내 기업 환경에 최적화된 보안 거버넌스를 설계합니다. Atlassian, GitLab 등 글로벌 파트너사로서 확보한 기술 생태계 통합 능력은 보안 솔루션이 기존 개발 프로세스와 충돌 없이 조화롭게 작동하도록 돕습니다.

체인가드 보안 솔루션은 이런 기업에 필수적입니다.

* React/Next.js 기반 서비스를 운영하는 기업: 리액트투쉘 위협으로부터 노출 자산을 보호해야 하는 조직

* AI 도구 도입으로 개발 속도가 빨라진 팀: AI 생성 코드의 보안 결함을 베이스 이미지 단계에서 필터링하고자 하는 조직

* 글로벌 규제 준수가 시급한 기업: 미국 행정명령 등 강력한 SBOM 제출과 보안 증명을 요구받는 금융 및 수출 기업

보안은 혁신의 기반이자 신뢰의 상징입니다.

오픈소스 환경이 보편화될수록 소프트웨어 공급망 보안은 선택이 아닌 필수 요소입니다. 보안은 더 이상 엔지니어링 팀만의 숙제가 아니라 고객에게 신뢰를 증명하고 개발 효율성을 극대화하는 경영의 핵심 전략입니다.

출처=플래티어

플래티어는 삼성전자, SK하이닉스, 네이버 등 국내 주요 대기업의 디지털 전환 프로젝트를 성공적으로 수행한 독보적인 노하우를 바탕으로 기술 지원부터 전문 교육, 맞춤형 컨설팅을 아우르는 엔드투엔드 서비스를 제공합니다. 아울러 보안이 더 이상 개발의 걸림돌이 아닌 비즈니스의 강력한 가속기가 될 수 있도록 최적의 가이드라인을 제시합니다.

플래티어와 체인가드가 제안하는 가이드라인을 통해 흔들리지 않는 성장의 기반을 마련해보세요!

💡[전문가 상담 신청하기]   Click

[참고자료]
[1] 데일리시큐: [단독] “Log4j 이후 ‘최악의 취약점’ 터졌다”...중국 해커, React2Shell RCE 실제 공격 테스트 돌입, 한국 18만 대 서버 공격에 무방비 (2025.12)

[2] 과학기술정보통신부, 한국인터넷진흥원: 25년 사이버 위협 동향 및 26년 전망 보고서 (2026.01)

[3] G2: 2023 Software Buyer Behavior Report (2023)

[4] Chainguard: Why startups need to be secure-by-default (2025.12)

오늘 콘텐츠가 마음에 드셨나요?

플래티어 뉴스레터를 구독해 보세요!

플래티어가 엄선한 콘텐츠를 이메일로 빠르게 전송해 드릴게요.

뉴스레터 구독하기