내가 설치한 패키지가 곧 실행되는 스크립트라고? 아치 리눅스 AUR을 노린 공급망 공격

아치 리눅스(Arch Linux)를 쓰는 분이라면 AUR(Arch User Repository) 없이는 하루도 못 산다고 할 정도로 자주 쓰실 거예요. 그런데 최근 이 AUR에 악성 패키지가 올라와서, 멋모르고 설치한 사용자들의 컴퓨터에 원격 조종 악성코드가 심어지는 사건이 연달아 터졌어요. 오픈소스 생태계의 ‘공급망 보안(supply chain security)’이 왜 중요한지를 아주 생생하게 보여준 사례라, 아치를 안 쓰는 분들도 알아둘 만해요.

먼저, AUR이 뭐냐면

리눅스는 보통 ‘패키지 매니저’로 소프트웨어를 설치하잖아요. 아치 리눅스의 공식 저장소에는 검증된 패키지만 들어가는데, 세상 모든 프로그램이 다 거기 있진 않거든요. 그래서 사용자들이 직접 ‘이 프로그램은 이렇게 설치하면 됩니다’라는 빌드 레시피를 올려서 공유하는 커뮤니티 저장소 가 바로 AUR이에요.

여기서 핵심은 그 레시피의 정체예요. AUR에 올라오는 건 완성된 프로그램이 아니라 PKGBUILD 라는 파일인데, 이게 사실은 그냥 셸 스크립트(shell script) 예요. ‘소스코드를 여기서 받아서, 이렇게 컴파일하고, 여기에 설치해라’라는 명령어들의 모음이죠. 문제는, 이 스크립트가 여러분 컴퓨터에서 그대로 실행된다 는 거예요. yay나 paru 같은 ‘AUR 헬퍼’ 도구를 쓰면 명령어 한 줄로 자동으로 받아서 빌드까지 해주는데, 그 과정에서 PKGBUILD 안의 코드가 여러분 권한으로 돌아가는 거고요. 즉, 악의를 가진 사람이 PKGBUILD 안에 아무 명령어나 숨겨두면, 그게 곧바로 실행될 수 있다 는 뜻이에요.

공격은 이렇게 이뤄졌어요

공격자들이 쓴 수법은 크게 두 가지였어요. 하나는 유명 패키지인 척하기 예요. 사람들이 많이 찾는 브라우저 이름에 ‘-fix’나 ‘-patched’ 같은 그럴듯한 꼬리표를 붙인 가짜 패키지를 올려두는 거죠. 급한 마음에 검색해서 이름만 보고 설치하면 낚이는 거예요. 다른 하나는 방치된 패키지 가로채기 예요. 원래 관리자가 손을 놓은 패키지를 넘겨받아서, 멀쩡하던 레시피에 슬쩍 악성 코드를 끼워 넣는 방식이에요.

심어진 건 보통 RAT(Remote Access Trojan), 즉 원격 조종 악성코드 였어요. 설치되는 순간 외부 서버에서 진짜 악성 페이로드를 내려받아 실행하고, 감염된 컴퓨터를 공격자가 원격으로 들여다보거나 조종할 수 있게 만드는 거죠. PKGBUILD는 신뢰를 전제로 굴러가는 시스템이라, 누군가 일부러 검토를 통과하려 들면 막아낼 자동 방어막이 거의 없다는 게 이번에 드러난 약점이에요.

사실 AUR만의 문제가 아니에요

이런 일이 처음은 아니에요. npm(자바스크립트), PyPI(파이썬) 같은 패키지 저장소에서도 거의 똑같은 공격이 계속 일어나고 있거든요. 유명 라이브러리와 한 글자 다른 이름으로 올리는 ‘타이포스쿼팅’, 인기 패키지의 관리자 계정을 탈취해 악성 버전을 배포하는 ‘계정 탈취’가 단골 수법이에요. VS Code 확장 마켓플레이스에서도 비슷한 사고가 있었고요. 공통점은 분명해요. ‘편하게 남이 만든 걸 가져다 쓰는’ 생태계는, 그 편리함만큼 신뢰를 노린 공격에 취약하다 는 거예요. AUR은 그중에서도 PKGBUILD가 대놓고 코드 실행이라 위험이 더 직접적인 편이고요.

한국 개발자에게 주는 의미

이건 남의 일이 아니에요. 우리도 매일 npm install, pip install을 아무 의심 없이 하잖아요. 몇 가지 습관을 챙길 만해요. AUR이라면 헬퍼가 보여주는 PKGBUILD를 한 번은 직접 읽어보는 것 이 기본이에요. 수상한 다운로드 주소나 base64로 인코딩된 의심스러운 코드가 있는지요. 일반적인 개발에서도 의존성을 추가할 때 다운로드 수, 관리자, 최근 커밋을 확인하고, 회사 차원이라면 의존성 취약점 스캐너(예: 깃허브 Dependabot, Snyk) 나 사내 패키지 미러를 도입해 무분별한 외부 설치를 통제하는 게 좋아요. ‘신뢰하되 검증하라’는 원칙이 공급망 보안의 핵심이거든요.

마무리

편리한 패키지 생태계는 곧 ‘남을 믿는 시스템’이고, 그 믿음은 언제든 공격 대상이 될 수 있어요. 여러분은 마지막으로 install 명령어를 친 그 패키지가 정확히 뭘 실행하는지, 한 번이라도 들여다본 적 있나요?