Byte Diver코드를 지키던 도구가 공격 통로가 됨. 2026년 3월, AI 공급망 공격의 새로운 국면이 열림. 보안 스캐너 Trivy에서 탈취된 자격증명 하나가 5개 소프트웨어 생태계를 연쇄 오염시키고, 월간 다운로드 9,700만 건의 AI 패키지 LiteLLM에 백도어를 심은 사건이 터짐.
이론이 아님. 이미 일어난 일임.
TL;DR — 2026년 3월, AI 개발 도구가 무기화됨
- Trivy 자격증명 1개 탈취 → GitHub Actions, Docker Hub, npm, PyPI, Open VSX 5개 생태계 연쇄 침해
- LiteLLM(월간 9,700만 다운로드) 3시간 동안 자격증명 탈취 페이로드에 노출
- 당장 해야 할 것: 커밋 SHA 고정, 시크릿 교체, SLSA 검증 도입
AI 공급망 공격의 시작: 보안 스캐너가 무기가 되는 순간
소프트웨어 공급망(Supply Chain)의 불편한 진실이 있음. 코드를 지키라고 설치한 보안 도구 자체가 공격 표면이라는 것임. 2026년 2월 말, TeamPCP라는 해커 그룹이 Aqua Security의 Trivy에서 PAT(Personal Access Token) 하나를 훔침. 비유하면 자물쇠 가게 마스터키를 턴 셈임.
이 하나의 자격증명에서 도미노가 시작됨. GitHub Actions, Docker Hub, npm(47개 이상 패키지), PyPI, Open VSX 마켓플레이스까지 5개 생태계가 연쇄 오염됨. (The Hacker News, Socket)
규모를 보면 심각성이 체감됨. LiteLLM은 월간 다운로드 9,700만 건, 하루 300만 건의 파이썬 패키지임. Stripe, Netflix, Google은 물론 CrewAI, DSPy, MLflow 등 주요 AI 프레임워크가 의존하는 핵심 라이브러리가 약 3시간 동안 무기화됨. (Sonatype, CyberInsider)
3시간이 별것 아닌 것 같지만, 하루 300만 다운로드 기준으로 수만 건의 감염 설치가 발생할 수 있는 시간임. 자격증명 수집, 쿠버네티스(Kubernetes) 클러스터 확산, 영구 백도어 설치가 자동으로 진행됨. (BleepingComputer)
어떻게 벌어졌는지, AI 개발 생태계에 무슨 의미인지, 지금 당장 뭘 해야 하는지 정리함.
AI 공급망 공격 도미노: 캐스케이드 킬체인 전개
TeamPCP의 AI 공급망 공격은 정확한 순서를 따름. 침해된 시스템이 다음 공격의 발판이 되는 캐스케이드 구조임. 전통적인 경계 보안으로는 막을 수 없음. 위협이 신뢰하는 의존성 내부에서 오기 때문임. (SANS Institute)
TeamPCP AI 공급망 공격 캐스케이드 타임라인
3월 19일
1단계: Trivy GitHub Actions 침해
탈취한 PAT로 76개 버전 태그 중 75개를 force-push. 1만+ 워크플로 영향권.
3월 20~22일
2단계: Docker Hub & npm 확산
악성 Docker 이미지 + npm 47개 패키지에 CanisterWorm 웜 배포. 블록체인 C2 사용.
3월 23일
3단계: Checkmarx KICS 침해
35개 태그 하이재킹 + C2 엔드포인트 구축. 또 다른 보안 도구가 공격 벡터로.
3월 24일
4단계: LiteLLM PyPI 침해
월간 9,700만 다운로드 패키지에 .pth 자동실행 백도어. 3단계 자격증명 탈취.
3월 27일
5단계: Telnyx PyPI 침해
WAV 오디오 파일에 스테가노그래피로 페이로드 은닉. EDR 탐지 회피 진화.
1단계 — Trivy GitHub Actions 침해 (3월 19일). 탈취한 PAT로 76개 버전 태그 중 75개를 force-push로 악성 커밋으로 교체함. force-push는 태그가 가리키는 코드를 이름은 그대로 두고 내용만 바꾸는 것임. 약국 약병 라벨은 그대로인데 안의 약을 바꿔치기한 셈임. Trivy를 태그로 참조하는 1만 건 이상의 워크플로가 영향권에 들어감. (Socket, CrowdStrike)
GitHub의 “Immutable Release” 배지는 여전히 초록색이었음. Git에서 태그는 진짜 불변이 아님. 옮길 수 있는 포인터일 뿐임. 많은 CI/CD 파이프라인이 의존하던 근본 가정이 깨진 순간임. (Socket)
2단계 — Docker Hub & npm 확산 (3월 20~22일). Trivy 빌드 파이프라인 장악 후, Docker Hub에 악성 이미지(0.69.4~0.69.6)를 푸시함. 동시에 탈취한 토큰으로 npm 47개 이상 패키지에 CanisterWorm이라는 자기복제 웜을 배포함. (The Hacker News)
CanisterWorm이 특히 주목할 만한 이유가 있음. ICP 블록체인 캐니스터를 C2(Command & Control) 서버의 주소록으로 사용함. 탈중앙화 블록체인에 저장된 게시판에 지시를 남기는 방식이라 기존 방식의 테이크다운이 먹히지 않음. (The Hacker News)
3단계 — Checkmarx KICS 침해 (3월 23일). Checkmarx의 KICS GitHub Actions에서 35개 태그를 하이재킹함. checkmarx[.]zone을 C2 폴링 엔드포인트로 구축함. 또 다른 보안 도구가 공격 벡터가 됨. (The Hacker News)
4단계 — LiteLLM PyPI 침해 (3월 24일). 버전 1.82.7과 1.82.8이 .pth 파일과 함께 PyPI에 게시됨. .pth는 파이썬 인터프리터가 시작할 때 자동 실행되는 경로 설정 파일임. 명시적 import 없이 패키지 설치만으로 페이로드가 작동함. (Sonatype, Endor Labs)
페이로드는 3단계로 동작함. (1) 환경변수, 클라우드 메타데이터, 설정 파일에서 자격증명 수집 (2) 쿠버네티스 클러스터 횡이동 (3) systemd 백도어로 영구 접근 확보. 데이터는 RSA 암호화를 거쳐 models.litellm[.]cloud로 유출됨. (Endor Labs)
5단계 — Telnyx PyPI 침해 (3월 27일). 최신 진화 단계임. Telnyx SDK 4.87.1/4.87.2(월간 74만 2천 다운로드)를 침해했는데, 실제 332줄짜리 자격증명 수집기를 WAV 오디오 파일에 스테가노그래피로 숨김. XOR + base64로 디코딩하는 방식임. 눈에 보이는 드로퍼는 4,428자에 불과함. (The Hacker News, Trend Micro)
인라인 페이로드에서 WAV 스테가노그래피로의 진화는 EDR(엔드포인트 탐지 대응) 도구를 회피하기 위한 적극적인 기술 발전을 보여줌. (Trend Micro)
AI 공급망 공격이 드러낸 구조적 취약점
TeamPCP 캠페인은 한 해커 그룹의 전술 이상을 드러냄. AI 개발 생태계의 성장 속도가 보안 인프라를 압도적으로 앞서고 있다는 구조적 문제임.
| 공격 벡터 | 대상 | 월간 다운로드 | 노출 시간 | 기법 |
|---|---|---|---|---|
| .pth 자동실행 | LiteLLM (PyPI) | 9,700만 | 약 3시간 | 3단계 자격증명 탈취 |
| 태그 force-push | Trivy (GitHub Actions) | 1만+ 워크플로 | 수일 | 태그 변조로 코드 교체 |
| 토큰 탈취 + 웜 | npm (47+ 패키지) | 다양 | 진행 중 | 블록체인 C2 자기복제 |
| WAV 스테가노그래피 | Telnyx (PyPI) | 74만 2천 | 수시간 | 오디오 파일 페이로드 은닉 |
| 역직렬화 RCE | LangChain/LangGraph | 주간 5,200만+ | 패치됨 | CVSS 9.3 |
| 스캐너 우회 | Open VSX | Cursor/Windsurf 사용자 | 패치됨 | “Open Sesame” 검증 건너뛰기 |
(출처: Endor Labs, Socket, The Hacker News, Vulert)
다운로드 수를 보면 감이 옴. LiteLLM만 월간 9,700만 다운로드임. LangChain/LangGraph는 주간 5,200만 이상임. 틈새 라이브러리가 아님. AI 에이전트 생태계 전체의 기반 배관 역할을 하는 핵심 패키지임. (CyberInsider, The Hacker News)
TeamPCP가 LiteLLM을 침해하던 같은 주에, LangChain/LangGraph에서 CVE 3건이 공개됨. 경로 탐색(CVSS 7.5), 역직렬화(CVSS 9.3), SQL 인젝션(CVSS 7.3)임. CVSS 9.3은 공격자가 조작된 요청 하나로 서버에서 임의 코드를 실행할 수 있다는 뜻임. (The Hacker News)
Open VSX의 “Open Sesame” 버그도 같은 시기에 터짐. 악성 VS Code 확장 프로그램이 보안 검사를 완전히 우회할 수 있는 취약점임. Cursor나 Windsurf IDE 사용자가 마켓플레이스 검증을 통과한 악성 확장을 설치할 수 있었음. (The Hacker News). 관련하여 MCP 보안 취약점 분석에서 AI 도구의 보안 검증 문제를 다룬 바 있음.
패턴이 명확함. AI 개발 도구는 폭발적으로 채택되고 있지만, 보안 리뷰 프로세스, 의존성 관리, 검증 메커니즘이 이 속도를 따라가지 못하고 있음.
AI 공급망 공격 주체 TeamPCP: 동기와 수법
TeamPCP는 DeadCatx3, PCPcat, ShellForce, CipherForce 등 여러 별칭을 사용함. 동기는 금전적 이익과 지정학적 목적이 혼합된 것으로 분석됨. (SANS Institute, Kaspersky)
금전적 측면에서는 Solana 검증자 키, 암호화폐 지갑, 클라우드 서비스 토큰을 일관되게 타겟팅함. 여러 생태계에 걸친 자격증명 수확은 “넓게 그물 던지기” 전략임. (Kaspersky)
지정학적 차원도 있음. Trivy 침해 과정에서 이란을 타겟으로 한 쿠버네티스 와이퍼(파괴형 악성코드)가 발견됨. 암호화폐 지갑을 훔치는 동일 캠페인이 국가 차원의 사이버 작전도 병행하고 있는 것으로 보임. (The Hacker News, Kaspersky)
C2 인프라는 일관된 패턴을 따름. 타이포스쿼팅 도메인(scan[.]aquasecurtiy[.]org — “security” 철자 오류), 전용 유출 엔드포인트(models.litellm[.]cloud), 여러 페이로드에서 발견된 YouTube 킬 스위치 메커니즘임. (Sonatype)
기술 수준이 빠르게 올라가고 있음. 초기 인라인 페이로드에서 Telnyx 침해의 WAV 스테가노그래피까지, 매 공격마다 이전 AI 공급망 공격의 교훈을 반영하고 있음. (Trend Micro)
AI 공급망 공격 방어 가이드: 지금 당장 해야 할 것
방어책은 존재함. 대부분의 조직이 아직 적용하지 않았을 뿐임. 보안 커뮤니티가 권고하는 조치를 즉시 실행과 구조적 전환으로 나눠 정리함.
즉시 실행 (이번 주)
버전 확인부터 할 것. LiteLLM 1.82.7 또는 1.82.8, Trivy Docker 이미지 0.69.4~0.69.6, Telnyx 4.87.1~4.87.2를 사용했다면 침해를 가정하고 대응해야 함. 해당 환경에서 접근 가능했던 모든 자격증명, API 키, 토큰을 교체할 것. (LiteLLM Security Blog, Microsoft)
IoC 스캔을 실행할 것. models.litellm[.]cloud, checkmarx[.]zone, scan[.]aquasecurtiy[.]org로의 통신을 확인함. 파이썬 site-packages 디렉토리에 예상치 못한 .pth 파일이 있는지, systemd 서비스에 낯선 항목이 있는지 점검함. (CrowdStrike, Microsoft)
GitHub Actions를 감사할 것. 워크플로에서 Trivy나 Checkmarx KICS를 태그로 참조하고 있었다면(@v1, @latest 등) 영향권에 있었던 것임. 커밋 SHA 고정으로 즉시 전환함. (Socket)
구조적 전환 (이번 분기)
태그가 아닌 커밋 SHA로 고정할 것. 태그는 옮길 수 있지만 커밋 SHA는 불가능함. uses: aquasecurity/trivy-action@v1 대신 uses: aquasecurity/trivy-action@abc123def456 형식을 사용함. 단일 조치 중 가장 효과가 큰 변경임. (Socket, CrowdStrike). 공급망 공격 2026 총정리에서 다뤘듯이 이미 $810억 피해를 양산한 벡터임.
PyPI Trusted Publishers를 도입할 것. OIDC 기반으로 패키지 배포를 특정 CI/CD 파이프라인 ID에 묶는 메커니즘임. 침해된 관리자 계정에서의 무단 배포를 막음. 이미 132,360개 이상의 PyPI 패키지가 도입함.
SLSA 출처 검증을 사용할 것. SLSA(Supply-chain Levels for Software Artifacts)는 패키지가 어디서 어떻게 빌드됐는지 암호학적으로 증명함. 소프트웨어의 봉인 스티커 같은 역할임.
시간 기반 버전 필터링을 활성화할 것. pip v26의 --uploaded-prior-to, uv의 --exclude-newer 옵션으로 알려진 침해 시점 이전으로 의존성 해석을 동결할 수 있음. 락파일 + 해시 고정과 결합하면 심층 방어가 가능함.
| 방어 계층 | 도구/방법 | 방어 대상 | 도입 난이도 |
|---|---|---|---|
| 즉시 | 커밋 SHA 고정 | 태그 변조 | 낮음 — 설정 변경 |
| 즉시 | 자격증명 교체 | 탈취된 토큰 | 중간 — 운영 작업 |
| 구조적 | PyPI Trusted Publishers | 무단 배포 | 중간 — CI/CD 변경 |
| 구조적 | SLSA 검증 | 변조된 빌드 | 높음 — 파이프라인 재설계 |
| 구조적 | 시간 기반 필터링 | 침해 후 설치 | 낮음 — CLI 옵션 |
| 구조적 | 락파일 + 해시 고정 | 버전 치환 | 낮음 — 기존 도구 활용 |
AI 공급망 공격과 한국: KISA 능동적 방어와 7개국 공동 대응
한국도 안전지대가 아님. KISA 발표 기준, 2025년 국내 침해사고는 2,383건으로 전년 대비 26.3% 증가함. PyPI와 npm이 주요 AI 공급망 공격 경로로 지목됨. (데일리시큐)
과학기술정보통신부는 사후 대응에서 “능동적 방어”로의 전환을 시그널링하고 있음. 사고 발생 전에 선제적으로 위협을 헌팅하고 공급망을 검증하는 방향임. (데일리시큐)
2026년 3월 4일, NSA가 한국 국정원을 포함한 7개국 정보기관과 함께 “AI/ML 공급망 위험 및 완화방안” 공동 가이드를 발표함. 6대 공급망 구성요소별 구체적 완화 전략을 제시함. (NSA/DoD)
IBM의 2026 X-Force 위협 인텔리전스 인덱스가 거시적 그림을 보여줌. 대형 공급망 및 서드파티 침해는 2020년 이후 4배 증가함. 둔화 조짐이 없음. (IBM Newsroom)
AI 워크로드를 운영하는 국내 기업 — 핀테크, 제조, 빠르게 성장하는 AI 에이전트 시장 — 에 메시지가 명확함. 의존성 트리가 곧 공격 표면임. 모든 pip install, 모든 npm install, 모든 Docker pull이 신뢰 결정인 셈임.
AI 공급망 공격 피해 규모
9,700만
LiteLLM 월간 다운로드
5
연쇄 오염된 생태계
3시간
LiteLLM 백도어 노출
2,383
2025년 국내 침해사고(건)
AI 공급망 공격 시대, 커리어에 미치는 영향
기술, DevOps, 또는 소프트웨어 공급망에 관련된 업무를 하고 있다면 이 AI 공급망 공격 사건이 대화의 방향을 바꿈. AI 에이전트 보안 거버넌스에서 다뤘듯이, 공급망 보안이 “있으면 좋은” 체크박스에서 핵심 역량으로 이동하고 있음.
가트너(Gartner)의 최신 ‘AI 가디언 에이전트’ 마켓 가이드가 새로운 카테고리를 조명함. AI 시스템이 다른 AI 시스템의 보안 이상을 감시하는 것임. AI 개발 도구를 지키는 AI 감시관이 필요한 시대가 된 셈임. (The Hacker News)
킬체인(Kill Chain) 개념 자체가 유효기간을 다하고 있음. 코딩, 테스팅, 배포를 수행하는 AI 에이전트 자체가 위협이 될 때, 전통적 보안 모델이 전제했던 “신뢰할 수 있는 도구 vs 신뢰할 수 없는 입력”의 경계는 이미 사라짐. (The Hacker News)
마이크로소프트(Microsoft)가 Trivy 침해에 대한 전용 탐지/조사/방어 가이드를 48시간 내 발표한 것이 심각성을 방증함. 마이크로소프트가 특정 오픈소스 도구 침해에 이 속도로 대응 가이드를 낸 것은 피해 범위가 상당하다는 뜻임. (Microsoft Security Blog)
한줄 코멘트
소프트웨어 의존성에 대한 “믿고 검증” 시대가 끝남. 보안 스캐너가 백도어가 될 수 있다면, 패키지 레지스트리에서 프로덕션까지 제로 트러스트만이 유일한 전제임.
직장인 시사점
소프트웨어 공급망의 어떤 부분이든 관여한다면 — 코드 작성부터 배포까지 — 커밋 SHA 고정과 SLSA 검증을 핵심 역량으로 익힐 것. 공급망 보안 리터러시가 유닛 테스트 작성법만큼 필수가 되는 시대임.
자주 묻는 질문 (FAQ)
LiteLLM AI 공급망 공격에 영향을 받았는지 어떻게 확인하나요?
2026년 3월 24~25일 사이에 LiteLLM 1.82.7 또는 1.82.8을 설치했다면 영향 가능성이 있습니다. pip 설치 로그를 확인하고 site-packages 디렉토리에 .pth 파일이 있는지 점검할 것. 노출 시간은 약 3시간이지만, 자동화된 CI/CD 파이프라인이 해당 시간대에 침해 버전을 가져왔을 수 있습니다. (Sonatype)
TeamPCP 같은 AI 공급망 공격에서 CI/CD 파이프라인을 어떻게 보호하나요?
가장 효과적인 즉시 조치는 GitHub Actions 워크플로에서 태그 기반 참조를 커밋 SHA 고정으로 전환하는 것입니다. 추가로 자체 패키지에 PyPI Trusted Publishers를 적용하고, SLSA 출처 검증을 활성화하며, 모든 의존성에 락파일 + 해시 고정을 사용합니다. (Socket, CrowdStrike)
LangChain, LiteLLM 같은 AI 개발 프레임워크를 지금 써도 안전하나요?
침해된 특정 버전은 PyPI에서 제거됐고, LiteLLM은 보안 업데이트를 게시합니다. 다만 빠른 채택이 보안 리뷰를 앞서는 구조적 위험은 그대로입니다. 최신 패치 버전을 사용하고, 커밋 SHA를 고정하며, AI 의존성 스택의 보안 권고를 모니터링할 것. (LiteLLM Security Blog)
SLSA 검증이란 무엇이고, AI 공급망 보안에 왜 중요하나요?
SLSA(Supply-chain Levels for Software Artifacts)는 소프트웨어 패키지가 어디서 어떻게 빌드됐는지 암호학적으로 증명하는 프레임워크입니다. 봉인 스티커 역할로, 누군가 빌드 과정을 변경하거나 악성 코드를 주입하면 검증이 실패합니다. 현재 132,360개 이상의 PyPI 패키지가 지원합니다.
참고 자료
- The Hacker News — TeamPCP Backdoors LiteLLM Versions 1.82.7-1.82.8 on PyPI (2026-03-24)
- Sonatype — Compromised litellm PyPI Package Delivers Multi-Stage Credential Stealer (2026-03-25)
- Endor Labs — TeamPCP Isn’t Done: Telnyx, CanisterWorm, and Expanding Supply Chain Threat (2026-03-27)
- Socket — Trivy Under Attack Again: GitHub Actions Tag Compromise (2026-03-24)
- CrowdStrike — From Scanner to Stealer: Inside the Trivy Action Supply Chain Compromise (2026-03-24)
- Microsoft Security Blog — Detecting, Investigating, and Defending Against Trivy Compromise (2026-03-24)
- Trend Micro — TeamPCP Telnyx Attack Marks a Shift in Tactics (2026-03-27)
- CyberInsider — New Supply Chain Attack Hits LiteLLM with 95M Monthly Downloads (2026-03-25)
- BleepingComputer — Popular LiteLLM PyPI Package Compromised (2026-03-25)
- The Hacker News — LangChain, LangGraph Flaws Expose Files, Secrets, Databases (2026-03-27)
- The Hacker News — Open VSX Bug Let Malicious Extensions Bypass Security (2026-03-27)
- Arctic Wolf — TeamPCP Cascading Supply Chain Attack (2026-03-25)
- SANS Institute — When Security Scanner Became Weapon (2026-03-26)
- Kaspersky — Trojanization of Trivy, LiteLLM, Checkmarx (2026-03-25)
- NSA/DoD — AI/ML Supply Chain Risks and Mitigations (2026-03-04)
- IBM Newsroom — IBM 2026 X-Force Threat Intelligence Index (2026-02-25)
- 데일리시큐 — KISA 2026 사이버보안 보고서 (2026-03-20)
- LiteLLM — Security Update March 2026 (2026-03-25)
이 글은 정보 제공 목적이며 투자 또는 보안 자문에 해당하지 않음. 조직별 환경에 맞는 보안 전문가 상담을 권고함. 모든 데이터는 2026년 3월 31일 기준 공개 보고서를 출처로 함.