비밀번호 관리 도구까지 뚫렸다 — Bitwarden CLI 공급망 공격의 충격

개발자들이 매일같이 npm install을 치는 손가락이 멈칫하는 뉴스가 나왔습니다. 비밀번호 관리자로 유명한 Bitwarden의 공식 CLI 패키지가 공급망 공격의 타깃이 됐다는 Checkmarx의 리포트가 공개됐기 때문인데요. 비밀번호를 지켜달라고 맡긴 도구가, 오히려 비밀번호를 훔치는 통로가 될 뻔했다는 역설이 업계를 흔들고 있습니다.

무슨 일이 벌어졌나

Checkmarx 보안 연구팀에 따르면, npm 레지스트리에 배포된 Bitwarden 관련 CLI 패키지에서 의심스러운 코드가 발견됐습니다. 문제의 코드는 사용자의 환경 변수와 설정 파일을 외부 서버로 전송하려는 시도를 포함하고 있었는데요. 특히 BW_SESSION 같은 세션 토큰과 마스터 키 힌트를 노린 정황이 포착됐습니다.

공격 방식은 최근 유행하는 타이포스쿼팅(typosquatting)과 의존성 혼동(dependency confusion)을 섞어놓은 형태였습니다. 공식 패키지명과 한두 글자만 다른 이름으로 올라와 있었고, 무심코 설치한 개발자의 로컬 볼트가 통째로 털릴 수 있는 구조였죠.

왜 비밀번호 관리자가 타깃이 됐나

공격자 입장에서 생각해보면 이유가 명확합니다. 비밀번호 관리자 CLI를 쓰는 사람은 한 명당 수십에서 수백 개의 계정 정보를 가지고 있습니다. GitHub 토큰, AWS 키, 회사 메일, 데이터베이스 접속 정보가 한 곳에 모여 있죠. 일반 사용자 한 명을 뚫는 것보다 개발자 한 명을 뚫는 것이 훨씬 수지맞는 장사입니다.

게다가 CLI는 자동화 스크립트나 CI/CD 파이프라인에 끼워 쓰이는 경우가 많습니다. 한번 감염된 패키지가 조직 전체의 빌드 서버에 퍼지면, 피해 규모는 기하급수적으로 커집니다. 작년 말의 XZ Utils 백도어 사건이 보여줬듯, 공급망은 이제 해커들이 가장 좋아하는 사냥터입니다.

개발자 신뢰의 ‘사슬’이 무너지는 순간

문제의 본질은 npm install 뒤에 숨어있는 신뢰의 연쇄입니다. 우리는 보통 이렇게 가정합니다. “공식 저장소에 있으니까 안전할 거야.” “별이 많고 다운로드 수가 높으니까 괜찮겠지.” 하지만 이번 사건은 그 전제가 얼마나 얇은 유리창인지를 보여줍니다.

npm 생태계는 한 패키지가 수백 개의 의존성을 끌고 들어오는 구조입니다. 개발자가 직접 검증하는 코드는 1%도 안 되죠. 나머지 99%는 “누군가는 봤겠지”라는 집단적 낙관에 기대고 있습니다. 비밀번호 관리자처럼 보안이 생명인 도구조차 이 구멍에서 자유롭지 않다는 점이 이번 사건의 가장 뼈아픈 메시지입니다.

지금 당장 해야 할 일

실무적으로는 몇 가지 점검이 필요합니다. 먼저 최근 설치한 Bitwarden 관련 CLI 패키지가 공식 저장소의 해시와 일치하는지 확인해야 합니다. npm ls로 의존성 트리를 뒤져보고, 낯선 이름의 패키지가 섞여 있지 않은지 살펴보시기 바랍니다.

중장기적으로는 락파일(lockfile) 검증과 패키지 서명 확인을 CI에 붙이는 게 정답입니다. npm audit signatures나 Socket, Snyk 같은 공급망 보안 도구를 파이프라인에 기본값으로 넣는 조직이 늘고 있습니다. 무엇보다 마스터 패스워드는 주기적으로 교체하고, 세션 토큰은 필요한 순간에만 살려두는 습관이 필요합니다.

마무리하며

이번 사건은 단순한 한 패키지의 사고가 아닙니다. 우리가 “이 정도는 괜찮겠지"라고 믿어온 수많은 가정들 — 공식이니까, 인기 있으니까, 보안 회사니까 — 이 모두 검증 없이 쌓아 올린 모래성일 수 있다는 경고입니다.

비밀번호 관리자가 뚫린다면, 우리는 그다음 무엇을 믿어야 할까요. 개발자의 노트북에서 실행되는 모든 바이너리를 의심해야 하는 시대, 여러분의 팀은 공급망 공격에 얼마나 준비돼 있으신가요.