83M 주간 다운로드 axios 감염, SW 공급망 공격 지속 확대 경고함

Context

소프트웨어 공급망 공격이 생태계 전체로 확산되고 있으며, axios, Trivy, npm 패키지 등이 연속적으로 타겟화되고 있음. Lazarus Group 같은 국가 지원 해킹 단체부터 기회주의적 공격자까지 암시적 신뢰(implicit trust)를 악용하는 동일한 패턴이 반복되고 있음.

Technical Solution

• Docker Hardened Images: SLSA Build Level 3 어테스테이션과 서명된 SBOM 제공하며, 빌드 파이프라인의 쿨다운 기간으로 단시간 공급망 공격을 차단함
• Digest Commit SHA pinning: 가변 태그 대신 40자 commit SHA로 GitHub Actions 고정하여 TeamPCP 방식의 태그 하이재킹 방지함
• SBOM 생성: docker buildx 빌드 시 SBOM과 provenance 어테스테이션을 생성하고 서명하여 사고 발생 시 영향 범위 즉시 파악함
• 쿨다운 기간 설정: npm과 Renovate의 minimum release age 기능으로 새 버전 채택을 3일 지연시켜 대부분의 단시간 공격 제거함
• CI/CD runner 샌드박싱: CI 파이프라인을 잠재적 침입점으로 취급하여 프로세스 메모리 덤프와 시크릿 탈취 방지함

Impact

쿨다운 기간 3일 설정 시 대부분의 공급망 공격이 빌드 완료 전에 만료됨. Docker Hardened Images는 TeamPCP 사고의 영향을 받지 않음.

Key Takeaway

암시적 신뢰를 모든 레이어에서 명시적 검증으로 교체해야 하며, 검증 실패 시blast radius를 제한하는 방어 깊이(depth-in-defense) 전략이 필수임.