암호화폐 개발자들을 겨냥한 새로운 공급망(Supply Chain) 공격 캠페인인 ‘트랩도어(TrapDoor)’가 발견되면서 업계 보안 경계가 강화되고 있다.

외신에 따르면 보안 업체 Socket은 최근 보고서를 통해 솔라나(Solana), 수이(Sui), 앱토스(Aptos) 등 주요 블록체인 생태계 개발자를 표적으로 한 악성 패키지 유포 사례를 확인했다고 밝혔다.

조사 결과 공격자들은 npm, PyPI, Crates.io 등 전 세계 개발자들이 사용하는 오픈소스 패키지 저장소에 34개 이상의 악성 패키지를 등록한 것으로 드러났다. 이들 패키지는 보안 점검 도구, 개발 생산성 향상 프로그램, AI 지원 유틸리티 등 정상 소프트웨어로 위장해 배포됐다.

특히 이번 공격은 AI 코딩 환경을 노린 점에서 주목받고 있다. 공격자들은 AI 코드 작성 도구에서 활용되는 '.cursorrules'와 'CLAUDE.md' 파일에 숨겨진 명령어를 삽입하는 수법을 사용했다.

이를 통해 향후 개발자가 AI 코딩 도구와 작업을 진행할 경우 가짜 보안 검사나 진단 작업이 실행되도록 유도했다. 그 과정에서 개발 환경에 저장된 민감한 정보가 외부 서버로 전송되도록 설계된 것으로 분석됐다.

유출 대상에는 암호화폐 지갑의 개인 키(Private Key)를 비롯해 SSH 접속 권한, 깃허브(GitHub) 접근 토큰, 클라우드 서비스 인증 정보 등 핵심 보안 자산이 포함됐다.

보안 전문가들은 이번 공격이 단순 악성코드 유포를 넘어 AI 개발 환경 자체를 공격 경로로 활용한 사례라는 점에서 위험성이 크다고 평가하고 있다.

특히 블록체인 개발자의 경우 지갑 관리 권한과 프로젝트 배포 권한을 동시에 보유하는 경우가 많아 피해 규모가 확대될 가능성이 있다는 분석이다.

업계에서는 최근 AI 기반 개발 도구 사용이 급증하면서 관련 설정 파일과 자동화 기능을 노린 공격도 함께 증가하고 있다고 경고한다. 공격자가 AI에게 특정 행동을 수행하도록 숨겨진 지침을 주입하는 방식은 기존 보안 솔루션으로 탐지하기 어려운 경우가 많기 때문이다.

전문가들은 출처가 불분명한 패키지 설치를 자제하고, 오픈소스 라이브러리 사용 전 다운로드 수와 개발 이력, 코드 검증 여부를 반드시 확인해야 한다고 조언했다.

또한, 개인 키와 API 토큰은 별도 보안 저장소를 활용하고 AI 개발 도구 설정 파일에 대한 정기적인 점검이 필요하다고 강조했다.

박원빈 기자 wbpark@nanryna.kr