최근 마이크로소프트(Microsoft)가 호스팅하는 수십 개의 오픈소스 프로젝트가 해커에 의해 침해당해, AI 개발자들의 비밀번호와 민감한 자격 증명을 탈취하는 악성코드가 주입되는 사건이 발생했습니다. 이로 인해 GitHub에 있는 해당 프로젝트들이 일시적으로 비활성화되었고, 마이크로소프트는 즉시 접근을 차단하고 광범위한 조사에 착수했습니다. 이번 공격은 클라우드 서비스 애저(Azure) 및 클로드 코드(Claude Code), 제미니 CLI(Gemini CLI), VS 코드(VS Code) 등 AI 개발 앱 코딩에 사용되는 도구들과 주로 연관되어 있어, 관련 개발자들의 주의가 요구됩니다.
이번 해킹은 사용자가 AI 코딩 앱에서 감염된 도구를 열었을 때 악성코드가 작동하여 비밀번호 및 기타 민감한 자격 증명을 탈취하는 방식으로 이루어졌습니다. 최소 70개 이상의 프로젝트가 GitHub에서 '비활성화' 상태로 표시되었으며, 마이크로소프트는 일부 저장소를 검토 후 복원하고 나머지는 조사가 진행되는 동안 오프라인 상태로 유지하고 있습니다. 마이크로소프트 대변인 벤 홉(Ben Hope)은 잠재적 악성 콘텐츠 조사를 위해 일부 저장소를 일시적으로 제거했다고 밝혔으며, 영향을 받은 소수 고객에게는 통지하고 추가 조치가 필요할 경우 직접 연락할 예정이라고 덧붙였습니다. 이는 최근 몇 달간 널리 사용되는 오픈소스 프로젝트를 침해하여 다수 사용자에게 악성코드를 심는 '공급망(supply chain) 공격'의 최신 사례로, 마이크로소프트 오픈소스 프로젝트가 몇 주 사이 두 번째로 침해된 것으로 알려져 충격을 더하고 있습니다.
이번 사건은 오픈소스 생태계의 취약성과 공급망 공격의 심각성을 다시 한번 일깨워줍니다. 특히 AI 개발 도구를 표적으로 삼았다는 점에서, 급증하는 AI 기술 활용과 더불어 보안 위협 또한 고도화되고 있음을 보여줍니다. 마이크로소프트와 같은 대형 기술 기업조차 공급망 공격에 취약할 수 있다는 사실은 모든 규모의 개발자와 기업이 소프트웨어 의존성(dependency) 보안에 더욱 신경 써야 함을 시사합니다. 개발자들은 알 수 없는 출처의 코드나 도구를 설치할 때 각별히 주의하고, 세분화된 접근 토큰(fine-grained access token) 사용을 생활화하여 잠재적 피해를 최소화해야 할 것입니다. 또한, 기업들은 개발 환경의 보안 강화와 함께 역할 기반 접근 제어(RBAC) 모델의 재검토 등 전반적인 보안 인프라 점검이 시급합니다.