마이크로소프트(Microsoft)가 자사의 애저(Azure) 및 인공지능(AI) 개발 도구와 관련된 수십 개의 오픈소스 프로젝트를 깃허브(GitHub)에서 긴급히 비공개 처리했습니다. 이는 해커들이 해당 프로젝트 코드에 비밀번호를 훔치는 악성코드(malware)를 주입한 정황이 발견되었기 때문입니다. 이번 공격은 AI 개발자들이 사용하는 클로드 코드(Claude Code), 제미니(Gemini)의 명령줄 인터페이스, VS 코드(VS Code) 등 AI 코딩 앱에서 영향을 받은 도구를 열었을 때 사용자 비밀번호와 기타 민감한 자격 증명(credentials)이 유출될 수 있는 위험을 안고 있습니다.
보안 기업 클라우드스미스(Cloudsmith)와 오픈소스멀웨어(OpenSourceMalware)에 따르면, 이번 공격은 이른바 '공급망 공격(supply chain attack)'의 일환으로, 널리 사용되는 오픈소스 코드를 통해 다수의 사용자에게 악성코드를 확산시키는 방식입니다. 마이크로소프트는 현재 70개 이상의 프로젝트 접근을 비활성화했으며, 일부는 검토 후 복원되었으나 다른 프로젝트들은 조사가 계속되는 동안 오프라인 상태를 유지하고 있습니다. 마이크로소프트 대변인 벤 호프(Ben Hope)는 잠재적 악성 콘텐츠 조사를 위해 일부 저장소를 일시적으로 제거했으며, 영향을 받았을 수 있는 소수의 고객에게 통보했다고 밝혔습니다. 이번 사건은 지난 몇 주간 마이크로소프트 오픈소스 프로젝트에서 발생한 두 번째 해킹 사례로, 지난 5월에는 개발자 앱 구축 도구인 듀러블 태스크(Durable Task) 프로젝트가 해킹된 바 있습니다.
이번 마이크로소프트 오픈소스 해킹 사건은 대규모 기술 기업조차도 오픈소스 생태계의 보안 취약성으로부터 자유롭지 않다는 점을 다시 한번 보여줍니다. 특히 AI 개발 도구를 표적으로 삼았다는 점에서, AI 산업 전반의 보안 강화 필요성을 시사합니다. 개발자들이 사용하는 핵심 도구에 악성코드가 침투할 경우, 이는 단순히 개인 정보 유출을 넘어 기업의 클라우드 시스템과 방대한 고객 데이터까지 위협할 수 있는 심각한 보안 문제로 비화될 수 있습니다. 따라서 오픈소스 프로젝트를 활용하는 모든 개발자와 기업은 코드 무결성(code integrity) 검증과 보안 업데이트에 더욱 주의를 기울여야 할 것입니다.