본문 바로가기
Security#Security#Supply Chain조회 33

Dependency Confusion란?

정의

공개 레지스트리에 내부 패키지 이름을 선점해 공격자 버전이 설치되게 하는 공급망 공격. 2021년 대기업 다수 피해.

다른 표현의존성 혼동 공격

Dependency Confusion이란?

많은 조직이 내부 전용 패키지(예: @company/utils)를 쓴다. 이 이름을 공격자가 공개 npm에 먼저 등록하고 더 높은 버전을 올리면 빌드 시 그쪽이 설치된다.

2021년 사태

Alex Birsan이 PoC로 Apple·Microsoft·PayPal 등 35개 기업 내부 시스템에 코드 실행 성공. 포상금 13만 달러+.

방어

  • Scope 예약@company/*를 공개 npm에 선점
  • 프라이빗 레지스트리 전용 scope 설정
  • 내부·외부 패키지 화이트리스트 분리
  • .npmrc의 scope별 registry 매핑

🔗 함께 보면 좋은 용어

Security 전체 →
이메일 보안 스택
SPF + DKIM + DMARC + BIMI + MTA-STS + TLS-RPT.
카카오·네이버 로그인
한국 특화 소셜 로그인.
세션 보안
Regeneration·Timeout·Concurrent 제한.
한국 개인정보보호법
한국의 개인정보 보호 규제. 2020년 전면 개정. 민감·고유 식별 정보 엄격.
버그 바운티 운영
HackerOne·Bugcrowd·Intigriti 플랫폼·범위 설정.
위협 모델링 실무
STRIDE·PASTA·LINDDUN(프라이버시) 조합.
← 전체 사전으로 돌아가기마지막 업데이트 · 2026년 5월 10일