뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
0
AI 기술의 확산이 소프트웨어 공급망 전반에 걸쳐 새로운 보안 취약점을 급격히 확대시키고 있다는 분석이 나왔다. 소프트웨어 보안 플랫폼 기업 제이프록(JFrog)이 발표한 ‘2025 소프트웨어 공급망 현황 보고서’에 따르면, AI 및 머신러닝 기술 도입이 늘면서 공급망 내 다층적인 보안 위협이 빠르게 증가하는 추세다.
보고서는 특히 ‘쿼드펙타(Quad-fecta)’로 명명된 네 가지 핵심 보안 취약 요소를 경고했다. 이는 *공통 취약점 노출(CVE)*, 악성 패키지, 기밀 데이터 유출, 설정 오류 및 기타 인적 실수다. JFrog에 따르면, 이들 네 가지 요소는 공급망의 무결성과 안전성을 위협하는 핵심 요인으로, 특히 AI 기술이 결합될 때 위협의 복잡성과 파급력이 배가된다.
구체적 사례로는, 제이프록 보안 리서치팀이 공용 저장소에서 노출된 2만5,229개의 비공개 토큰이나 인증 정보를 발견했으며, 이 중 27%는 여전히 유효한 상태였다. 이는 지난해보다 64% 급증한 수치로, 공급망 보안의 일관성 확보가 갈수록 어려워지고 있음을 드러낸다.
AI 기반 모델 및 데이터셋 확대도 보안 리스크를 증폭시키는 원인 중 하나다. 2024년 한 해에만 머신러닝 허브인 허깅페이스(Hugging Face)에 100만 개 이상의 신규 모델과 데이터셋이 등록됐으며, 이 중 악성 모델의 비율은 6.5배나 증가했다. 또한 기업의 94%가 공인 모델 목록을 만들어 개발자 사용을 통제하고 있지만, 이 중 37%는 여전히 수작업으로 목록을 관리하고 있어 *일관된 보안 기준* 유지에 어려움을 겪고 있는 것으로 나타났다.
보다 심각한 점은 코드 외에도 실행 파일(Binary)에 대한 보안 검사가 보편화되지 않았다는 것이다. 응답자 중 단 43%만이 소스 코드와 바이너리 양쪽 모두에 보안 분석을 실시한다고 응답했으며, 이는 2023년보다 오히려 낮은 수치다. 특히 바이너리 스캐닝은 소스 코드에서는 드러나지 않는 보안 위협까지 탐지 가능한 주요 수단임에도 불구하고 이를 외면하는 기업이 여전히 많다는 점이 우려를 낳고 있다.
오픈소스에 대한 의존도도 여전한 취약 요소다. 전체 개발자의 70% 이상이 여전히 공공 레지스트리에서 직접 패키지를 다운로드하는 것으로 나타났는데, 이는 하나의 감염된 컴퓨터가 전체 조직으로 악성코드를 확산시킬 수 있는 *심각한 리스크*로 이어질 수 있다. 2024년 한 해 동안 공개된 신규 CVE는 3만3,000건을 넘으며 전년 대비 27% 증가했다.
또한 보고서는 현재 CVE 평가 시스템의 신뢰성에 대한 의문도 제기했다. ‘치명적’이라고 분류된 CVE 중 실제로 활용 가능한 위협으로 확인된 것은 불과 12%에 불과해, 현재의 취약점 등급 체계가 과장되었거나 과도하게 경고를 유발하고 있다는 지적이 나온다. 이와 함께 73%의 보안 전문가가 일곱 개 이상의 보안 도구를 사용하는 것으로 나타났지만, 이는 오히려 보안을 단순화하기보다는 복잡성과 리스크를 증대시키는 요인으로 작용할 가능성도 언급됐다.
이번 보고서는 AI의 빠른 확산이 소프트웨어 개발 및 공급 과정 전반에 걸쳐 구조적인 보안전략의 재정비를 요구하고 있음을 시사한다. 단순한 도구 확장보다는 일관성 있고 자동화된 보안 체계를 갖추는 것이 향후 공급망 보안을 견고히 하는 핵심이 될 것으로 보인다.
