핵심 요약
GitHub이 이달 npm v12를 출시하며 install 스크립트·Git 의존성·원격 소스를 기본 차단한다. npm 16년 역사상 최대 규모의 보안 재설계로, 최근 잇따른 npm 공급망 공격에 대한 직접 대응이다.
1. 무엇이 바뀌나
- 패키지 설치 시 자동 실행되던 install 스크립트 기본 차단
- Git 의존성·원격 소스 기본 차단
- 악성 패키지가 설치만으로 코드를 실행하던 주요 경로를 봉쇄
2. 배경이 된 공격들
| 사례 | 규모 |
|---|---|
| Axios 유지관리자 계정 탈취(3/31) | 주 1억 다운로드 |
| Mastra AI @mastra 스코프(6/17) | 140여 패키지 약 19분 만에 악성 재배포 |
| node-ipc 악성 버전(5/14) | 주 1천만 다운로드 |
북한 연계 Sapphire Sleet(BlueNoroff/APT38)의 공급망 공격이 특히 배경으로 지목됐다.
3. 규모
Sonatype 집계상 2025년 악성 오픈소스 패키지는 약 455,000개, 누적 차단은 123만 개를 넘어 전년 대비 75% 증가했다. install 스크립트 차단은 "설치=코드 실행"이라는 오랜 위험을 구조적으로 끊는 조치다.
자주 묻는 질문
install 스크립트를 막으면 기존 패키지가 깨지지 않나요?
네이티브 빌드 등 스크립트가 꼭 필요한 패키지는 명시적 허용(opt-in)으로 실행하게 됩니다. 기본을 "차단"으로 뒤집어, 사용자가 신뢰하는 경우에만 열어주는 방식이라 무분별한 자동 실행이 사라집니다.
개발자는 뭘 준비해야 하나요?
빌드에 postinstall 등 스크립트를 쓰는 의존성이 있는지 점검하고, 필요한 경우 허용 목록을 구성해야 합니다. 또한 lockfile 고정·서명 검증·최소 권한 토큰 사용 같은 공급망 보안 습관을 함께 갖추는 게 좋습니다.

댓글 0