1인 유지보수 패키지의 구조적 결함으로 인한 공급망 공격 리스크 분석

Context

기존 npm audit 기반의 보안 검사는 기등록된 CVE 취약점 탐지에만 집중하는 한계 존재. 패키지의 유지보수 체계와 같은 구조적 리스크(Structural Risk)를 식별하지 못해 토큰 탈취 시 대규모 공급망 공격에 무방비한 상태임.

Technical Solution

• 공개 레지스트리 데이터를 활용한 5가지 행동 차원(Longevity, Momentum, Consistency, Depth, Backing) 기반의 정량적 스코어링 모델 설계
• '유지보수자 1인 및 주간 다운로드 1,000만 건 이상'을 CRITICAL 위험군으로 정의하여 Single Point of Failure 지점 식별
• 직접 의존성뿐 아니라 Transitive Dependencies까지 추적하여 하위 레벨의 구조적 결함을 탐지하는 분석 로직 구현
• CLI, GitHub Action, MCP Server 등 다양한 인터페이스를 제공하여 CI/CD 파이프라인 내 리스크 가시성 확보
• AI 기반 공급망 공격의 타겟팅 패턴(고가치 타겟 식별 및 자동화된 페이로드 생성)을 방어하기 위한 선제적 리스크 지표 도입