Trivy 공급망 공격 대응 6가지, 2026년 모바일 앱 개발팀이 먼저 볼 보안 기준

Trivy 공급망 공격 이슈가 커진 이유는 보안 스캐너 하나의 문제가 아니라 모바일 앱 개발에 자주 쓰는 npm, PyPI, GitHub Actions 같은 배포 경로까지 함께 흔들렸기 때문입니다. 한국인터넷진흥원(KISA)은 이번 사고에 CVE-2026-33634, CVSS 9.4를 붙여 긴급 주의를 권고했습니다. 평소 앱 업데이트를 자주 받는 스마트폰 사용자도 이번 이슈를 남의 일로 보기 어려운 이유가 여기에 있습니다.

Trivy 공급망 공격이 왜 큰 사고로 분류됐나

KISA 공지 기준으로 공격자는 Trivy의 CI/CD 자격증명을 탈취한 뒤 악성 버전을 유포했고, 실행 과정에서 환경변수와 SSH 키, 클라우드 인증정보, 데이터베이스 인증정보, .env 파일 같은 민감 정보를 빼갔습니다. 여기에 그치지 않고 탈취한 토큰으로 npm 64개 이상 패키지, PyPI의 litellm과 telnyx 특정 버전, 일부 GitHub Actions와 VS Code 확장으로 악성코드를 넓게 퍼뜨렸습니다.

즉 문제의 핵심은 특정 개발자 한 명의 실수보다 배포 체인 전체가 한 번에 오염될 수 있었다는 점입니다. 모바일 앱 팀은 빌드 서버, 배포 자동화, 서드파티 라이브러리를 같이 쓰기 때문에 한 단계만 뚫려도 앱 서명 전 과정이 흔들릴 수 있습니다.

KISA 긴급 공지 원문 보기 →

스마트폰 사용자에게 왜 중요한가

이번 사건은 겉으로 보면 개발도구 보안 이슈지만, 실제로는 스마트폰에 설치되는 앱의 신뢰도와 연결됩니다. 개발자가 오염된 패키지나 액션을 그대로 사용하면 앱 코드에 백도어나 정보 탈취 기능이 섞일 수 있고, 사용자는 정상 업데이트처럼 보이는 앱을 그대로 받게 됩니다.

특히 회사 내부용 앱, 스타트업의 빠른 배포 환경, 오픈소스 의존도가 높은 프로젝트는 영향을 크게 받을 수 있습니다. 앱스토어 심사를 통과하더라도 빌드 단계에서 민감 정보가 이미 유출됐다면 API 키 재발급, 인증서 교체, 배포 파이프라인 재점검이 뒤따라야 합니다. 일반 사용자 입장에서는 업데이트 속도만 볼 게 아니라 개발사 공지와 보안 대응 여부를 같이 확인하는 습관이 중요해졌습니다.

감염 여부를 어떻게 확인하나

KISA가 제시한 대표 징후는 생각보다 구체적입니다. 개발 장비나 서버에서 ~/.local/share/pgmon/, ~/.config/sysmon/ 경로에 수상한 파일이 생겼는지, pgmon.service, sysmon.service 같은 systemd 사용자 서비스가 등록됐는지 먼저 보는 게 기본입니다. 여기에 Trivy v0.69.4 사용 이력, 특정 기간의 trivy-action 또는 setup-trivy 실행 기록, 의심 패키지 설치 여부를 함께 확인해야 합니다.

클라우드 자격증명과 SSH 키가 노출됐을 가능성까지 열어두고 접근해야 하므로, 단순 삭제로 끝내면 안 됩니다. 한 번이라도 영향 구간에 있었던 저장소나 CI 러너는 비밀번호 변경이 아니라 토큰 폐기와 재발급 기준으로 대응하는 편이 안전합니다.

보호나라에서 침해사고 신고하기 →

모바일 앱 개발팀이 먼저 할 대응 6가지

• Trivy와 관련 액션, Docker 이미지 버전을 즉시 점검하고 최신 안전 버전으로 올립니다.
• npm, PyPI, GitHub Actions 의존성 잠금 파일과 최근 변경 이력을 다시 확인합니다.
• CI/CD에 저장된 GitHub 토큰, 클라우드 키, 서명 인증서 비밀번호를 전면 교체합니다.
• 빌드 서버와 개발자 PC에서 pgmon, sysmon 흔적과 비정상 외부 통신을 조사합니다.
• 최근 배포한 모바일 앱이 있다면 릴리스 노트와 보안 공지로 이용자에게 상황을 투명하게 알립니다.
• 사고 범위를 확정할 때까지 신규 배포를 늦추고, 재현 가능한 클린 빌드 환경을 다시 세팅합니다.

이번 사건은 오픈소스 패키지 하나만 확인해서 끝낼 문제가 아니라 개발 파이프라인 전체 신뢰를 다시 검증해야 하는 종류의 사고입니다. 특히 모바일 앱은 업데이트가 빠르고 사용자 수가 많아, 초기에 조용히 넘기려다 더 크게 번질 가능성이 큽니다.

일반 사용자가 지금 체크할 포인트

앱 개발자가 아니더라도 할 일은 있습니다. 먼저 최근 업데이트한 금융, 업무, 사내 전용 앱에서 개발사 보안 공지가 올라왔는지 확인해 보시는 게 좋습니다. 출처가 불분명한 APK 직접 설치는 잠시 멈추고, 앱 권한이 갑자기 늘었거나 로그인 재인증을 반복 요구하는 앱은 주의해서 봐야 합니다.

또 회사에서 배포한 내부 앱을 쓰는 경우에는 보안팀이나 개발팀에 이번 Trivy 사고 영향 여부를 문의하는 편이 좋습니다. 공급망 공격은 사용자 개인이 완전히 막기 어렵지만, 공식 채널에서 대응 공지가 있는 조직과 없는 조직의 차이는 꽤 큽니다.

보호나라 보안 공지 더 보기 →

자주 묻는 질문

Trivy를 직접 안 쓰면 괜찮은가요?

꼭 그렇지는 않습니다. 내가 직접 Trivy를 쓰지 않아도, 사용하는 패키지나 액션, 개발사가 같은 공급망 안에 있었다면 간접 영향이 생길 수 있습니다.

스마트폰 앱 사용자도 비밀번호를 바로 바꿔야 하나요?

모든 앱에서 일괄 변경할 단계라고 단정할 수는 없습니다. 다만 개발사 공지, 비정상 로그인 알림, 권한 확대 여부가 보이면 바로 변경하는 편이 안전합니다.

개발팀은 무엇부터 해야 하나요?

영향 버전 사용 여부 확인, 토큰·키 폐기, 빌드 환경 포렌식, 최근 배포본 재검증 순으로 움직이는 것이 현실적입니다.

KISA 신고는 누가 하나요?

기업, 기관, 개발팀처럼 실제 침해 정황을 확인한 주체가 보호나라를 통해 신고하면 됩니다. 개인 사용자는 우선 이용 중인 서비스 사업자의 공지를 확인하는 쪽이 빠릅니다.

이 글이 마음에 드세요?

RSS 피드를 구독하세요!