CVE 기반 탐지를 넘어선 Behavioral Analysis로 공급망 공격 99.5% 차단

Context

npm audit 등 기존 보안 도구의 CVE Database 의존성으로 인한 제로데이 공급망 공격 대응 불가 상황. 특히 preinstall hook을 이용한 Credential theft 및 Network exfiltration 패턴이 기존 시그니처 기반 탐지 체계를 우회하는 한계 노출.

Technical Solution

• Rust 기반 스캐너를 통한 설치 전 Tarball 단계의 Deterministic Behavioral Analysis 수행
• 단순 API 호출이나 Shell 실행 등의 개별 Signal을 상호 연관 지어 High-confidence 패턴으로 식별하는 Correlation 로직 설계
• Static Analysis의 한계를 보완하기 위해 격리된 Container 환경에서 페이로드를 실행하는 Behavioral Sandbox 도입
• LLM 추론을 배제한 규칙 기반 탐지로 결과의 일관성을 보장하고 외부 API 의존성 제거
• Lockfile diff 기반의 GitHub App 통합을 통해 PR 머지 전 단계에서 공격 패키지 차단 구조 구현

Impact

• npm 및 PyPI 패키지 대상 각각 99.5%, 99.2%의 높은 탐지율 달성
• 0.6%의 낮은 False Positive Rate 및 99.79%의 F1 Score 기록
• 133,516개의 실제 패키지 데이터셋을 통한 검증 완료

Key Takeaway

알려진 취약점 목록(Database)에 의존하는 수동적 보안에서 탈피하여, 코드의 실제 동작(Behavior)을 분석하는 능동적 가드레일 설계의 필요성 확인.