본문 바로가기
보안2026년 7월 8일2분 읽기

npm v12, 설치 스크립트 기본 차단 — 공급망 공격 대응 최대 개편

YS
김영삼
조회 896
npm v12, 설치 스크립트 기본 차단 — 공급망 공격 대응 최대 개편

핵심 요약

GitHub이 이달 npm v12를 출시하며 install 스크립트·Git 의존성·원격 소스를 기본 차단한다. npm 16년 역사상 최대 규모의 보안 재설계로, 최근 잇따른 npm 공급망 공격에 대한 직접 대응이다.

1. 무엇이 바뀌나

  • 패키지 설치 시 자동 실행되던 install 스크립트 기본 차단
  • Git 의존성·원격 소스 기본 차단
  • 악성 패키지가 설치만으로 코드를 실행하던 주요 경로를 봉쇄

2. 배경이 된 공격들

사례규모
Axios 유지관리자 계정 탈취(3/31)주 1억 다운로드
Mastra AI @mastra 스코프(6/17)140여 패키지 약 19분 만에 악성 재배포
node-ipc 악성 버전(5/14)주 1천만 다운로드

북한 연계 Sapphire Sleet(BlueNoroff/APT38)의 공급망 공격이 특히 배경으로 지목됐다.

3. 규모

Sonatype 집계상 2025년 악성 오픈소스 패키지는 약 455,000개, 누적 차단은 123만 개를 넘어 전년 대비 75% 증가했다. install 스크립트 차단은 "설치=코드 실행"이라는 오랜 위험을 구조적으로 끊는 조치다.

자주 묻는 질문

install 스크립트를 막으면 기존 패키지가 깨지지 않나요?

네이티브 빌드 등 스크립트가 꼭 필요한 패키지는 명시적 허용(opt-in)으로 실행하게 됩니다. 기본을 "차단"으로 뒤집어, 사용자가 신뢰하는 경우에만 열어주는 방식이라 무분별한 자동 실행이 사라집니다.

개발자는 뭘 준비해야 하나요?

빌드에 postinstall 등 스크립트를 쓰는 의존성이 있는지 점검하고, 필요한 경우 허용 목록을 구성해야 합니다. 또한 lockfile 고정·서명 검증·최소 권한 토큰 사용 같은 공급망 보안 습관을 함께 갖추는 게 좋습니다.

댓글 0

아직 댓글이 없습니다.
Ctrl+Enter로 등록