본문 바로가기
Security#Security#Supply Chain조회 2

Dependency Confusion란?

정의

공개 레지스트리에 내부 패키지 이름을 선점해 공격자 버전이 설치되게 하는 공급망 공격. 2021년 대기업 다수 피해.

다른 표현의존성 혼동 공격

Dependency Confusion이란?

많은 조직이 내부 전용 패키지(예: @company/utils)를 쓴다. 이 이름을 공격자가 공개 npm에 먼저 등록하고 더 높은 버전을 올리면 빌드 시 그쪽이 설치된다.

2021년 사태

Alex Birsan이 PoC로 Apple·Microsoft·PayPal 등 35개 기업 내부 시스템에 코드 실행 성공. 포상금 13만 달러+.

방어

  • Scope 예약@company/*를 공개 npm에 선점
  • 프라이빗 레지스트리 전용 scope 설정
  • 내부·외부 패키지 화이트리스트 분리
  • .npmrc의 scope별 registry 매핑

🔗 함께 보면 좋은 용어

Security 전체 →
한국 개인정보보호법
한국의 개인정보 보호 규제. 2020년 전면 개정. 민감·고유 식별 정보 엄격.
Anonymization
데이터에서 식별 정보를 제거. k-anonymity·differential privacy.
Argon2
2015년 Password Hashing Competition 승자. 현대 비밀번호 해싱의 권장 알고리즘.
Audit Logging
중요 행동을 변조 불가한 감사 로그로 기록. 규정 준수·포렌식에 필수.
AWS IAM
AWS 접근 제어 서비스. User·Role·Policy·Groups.
Bastion Host
내부 네트워크 진입을 위한 강화 점프 서버. SSH·RDP 관문.
← 전체 사전으로 돌아가기마지막 업데이트 · 2026년 4월 19일