흔들리는 소프트웨어 공급망, 신뢰할 수 있는 보안전략은
보안 패치 대신 제품 혁신에 몰입하는 법, Zero CVE 전략
본 콘텐츠는 3월 12일자 플래티어 홈페이지에 게재된 글입니다. [원문 바로 읽기]
[미리보기: 오늘 콘텐츠의 핵심 용어]
CVE(Common Vulnerabilities and Exposures)란?
CVE는 전 세계 소프트웨어 및 하드웨어에서 발견된 공개된 보안 취약점에 부여되는 고유 식별 번호입니다. 1999년 미국 비영리 기관인 MITRE에 의해 처음 만들어졌으며, 현재는 전 세계 보안 업계의 표준으로 자리 잡았습니다.
왜 필요한가?
같은 보안 문제를 두고 벤더사나 보안 기업마다 서로 다른 이름으로 부르면 혼선이 생깁니다. CVE는 이를 하나로 통합하여, 전 세계 보안 전문가들이 'CVE-2025-55182에 대해 대응하자'라고 말할 때 동일한 문제를 바라보게 만듭니다. 숫자가 높거나 최신일수록 보안 팀이 즉각 대응해야 하는 위험 신호입니다.
신뢰의 배신: 우리가 직면한 공급망 보안의 실체
오늘날 소프트웨어의 90% 이상은 오픈소스로 구성됩니다. 하지만 우리가 신뢰해온 이 생태계는 지금 거대한 위협에 직면해 있습니다. 2025년 12월 발견된 리액트투쉘(React2Shell, CVE-2025-55182) 취약점은 그 위기의 정점입니다. 별도의 설정 오류 없이도 기본 설정(Default)만으로 서버 장악이 가능한 이 취약점은 국내에서만 약 19만 대의 서버를 공격 위험에 노출시켰습니다.
위협은 지능화되고 있습니다. 미국 보안기업 Sonatype에 따르면, 2025년 2분기 신규 악성 패키지는 전년 동기 대비 188% 급증한 16,279개가 등록되었습니다. 특히 Hugging Face, GitHub, NPM(Node Package Manager) 등 개발자들이 신뢰하는 플랫폼이 주요 경로로 악용되고 있습니다. 최근에는 북한 해킹 조직이 NPM에 197개의 악성 패키지를 유포하거나, GitHub 계정을 탈취해 보안 토큰을 유출하는 'Ghost Action'이 발견되기도 했습니다. 심지어 제조 단계부터 백도어가 탑재된 'BadBox 2.0' 사례는 하드웨어 공급망까지 오염되었음을 증명합니다. 단 한 번의 오염은 기업 신인도를 무너뜨리고 천문학적인 경제적 손실로 이어집니다.
한계에 부딪힌 대안들: 패치 지옥과 AI의 역설
지금까지 기업들은 취약점을 탐지하고 사후에 패치하는 '반응형(Reactive) 모델'에 의존해 왔습니다. 하지만 리액트투쉘처럼 PoC(개념증명)가 유포되는 즉시 실전 공격이 시작되는 환경에서 이러한 방식은 늘 한발 늦을 수밖에 없습니다.
...(중략)
이어지는 내용은 [플래티어 홈페이지 > 블로그 콘텐츠] 원문에서 지금 바로 확인하세요!