최근 소프트웨어 공급망 공격이 증가하면서 개발자 머신의 보안 중요성이 커지고 있습니다. 이러한 위협에 대응하기 위해 퍼플렉시티 AI(Perplexity AI)가 개발한 오픈소스 스캐너 '범블비(Bumblebee)'가 주목받고 있습니다. 범블비는 맥(macOS) 및 리눅스(Linux) 개발자 머신에서 패키지, 확장 프로그램, 개발 도구의 메타데이터를 수집하여 공급망 침해 노출 여부를 즉시 확인할 수 있도록 돕는 읽기 전용 인벤토리 수집기입니다.
기존의 소프트웨어 자재 명세서(SBOM)가 '무엇이 배포되었나'를, 엔드포인트 탐지 및 대응(EDR) 솔루션이 '무엇이 실행되었나'를 주로 다루는 반면, 범블비는 이 두 가지가 놓칠 수 있는 영역, 즉 록파일(lockfile), 패키지 매니저 메타데이터, 확장 프로그램 매니페스트 등 로컬에 흩어진 상태 정보를 파악하는 데 특화되어 있습니다. 이 도구는 npm, PyPI, Go modules, RubyGems, Composer, Homebrew 등 광범위한 패키지 생태계와 에디터/브라우저 확장 프로그램까지 지원하며, 패키지 매니저를 직접 실행하거나 소스 파일을 읽지 않고 메타데이터만 파싱하여 시스템에 부작용 없이 점검을 수행합니다. 수집된 정보는 구조화된 NDJSON 레코드로 변환되며, 알려진 취약점 카탈로그와 비교하여 정확히 일치하는 항목을 '파인딩(finding)' 레코드로 표시합니다.
범블비는 세 가지 프로파일(baseline, project, deep)을 제공하여 사용자가 점검 범위를 유연하게 조절할 수 있도록 합니다. '베이스라인(baseline)'은 전역/사용자 패키지 루트, 툴체인, 에디터/브라우저 확장 등을, '프로젝트(project)'는 개발 디렉터리 내의 코드를, '딥(deep)'은 홈 디렉터리($HOME)를 포함한 명시적 루트 대상을 광범위하게 점검합니다. Go 언어로 구현된 단일 정적 바이너리 형태로 배포되어 표준 라이브러리 외 다른 의존성이 없어 설치 및 사용이 간편하며, 아파치-2.0(Apache-2.0) 라이선스를 따릅니다.
이러한 범블비의 등장은 개발 환경의 보안 사각지대를 메우는 데 중요한 의미를 가집니다. 최근 깃허브(GitHub) 침해 사례나 npm 공급망 공격처럼 개발 인프라를 노리는 공격이 증가하는 상황에서, 개발자 개개인의 머신에 대한 가시성을 확보하는 것은 전체 소프트웨어 공급망 보안을 강화하는 필수적인 단계입니다. 범블비는 개발자들이 자신의 작업 환경에 존재하는 잠재적 취약점을 선제적으로 파악하고 대응할 수 있도록 지원함으로써, 보다 안전한 개발 생태계를 구축하는 데 기여할 것으로 기대됩니다.