← 기술 목록으로

악성 패키지 정보 수집·분석

알려진 취약점(CVE)을 넘어, 악성 코드를 포함한 패키지(타이포스쿼팅·종속성 혼동·계정 탈취 유형)를 수집·분석해 보안 데이터 역량을 확장

기간2026 (~6월)

소속래브라도랩스(LabradorLabs) · 데이터파트

역할데이터파트 파트리더

OpenSSFnpmPyPIMavenGoLPPCVSS

1배경

기존 보안 데이터는 알려진 취약점(CVE) 중심이었습니다. 하지만 실제 공급망 위협에는 단순 취약점뿐 아니라 악성 코드를 의도적으로 포함한 패키지가 존재합니다.

타이포스쿼팅 — 유명 패키지명을 오타로 모사해 설치를 유도
종속성 혼동(dependency confusion) — 내부 패키지명을 공개 저장소에 올려 잘못 당겨오게 유도
계정 탈취 — 정상 패키지 유지보수 계정을 탈취해 악성 버전을 배포

이런 유형은 CVSS 점수가 매겨진 취약점과 성격이 달라, 별도의 수집·탐지 경로가 필요했습니다.

2접근

① 수집OpenSSF malicious-packages 등 공개 데이터 소스에서 악성 패키지 정보 수집

→

② DB화패키지명·버전·유형을 정규화해 악성 패키지 DB로 적재

→

③ 탐지패키지 매니저 파일 파싱 → 패키지명(+버전) 식별 → DB 조회

→

④ 활용분석 결과에 악성 여부 제공, 반입(차단) 관리에 활용

공개 데이터 소스(OpenSSF malicious-packages 저장소 등)에서 악성 패키지 정보를 수집해 DB로 구축하고, 탐지 단계에서 npm·PyPI·Maven·Go 등 패키지 매니저 파일을 파싱해 식별된 패키지명(+버전)을 악성 패키지 DB에서 조회합니다.

3패치 우선순위 반영

조회 결과로 확인된 악성 패키지 여부는 패치 우선순위(LPP)에 가중치로 반영됩니다. 단순 취약점보다 악성 코드 포함 패키지가 더 높은 우선순위로 다뤄지도록 했습니다.

분석 결과 화면에서 악성 패키지 여부를 함께 제공
해당 정보를 반입(차단) 관리에 활용해, 악성 패키지가 도입되는 것을 사전에 통제

4임팩트

커버리지 확대 — 취약점 중심을 넘어 악성 패키지까지 포괄하는 보안 데이터

차별화 — 악성 패키지 반입(차단) 관리로 타 솔루션과 차별화

우선순위 정교화 — 악성 여부를 LPP 가중치로 반영해 대응 순서 개선

5역할

데이터파트 파트리더로서 공개 데이터 소스 수집 → 악성 패키지 DB 설계 → 탐지·조회 연계 → LPP 가중치 반영까지 보안 데이터 확장 방향을 주도했습니다. 취약점 데이터에 머물지 않고 악성 패키지까지 다루는 데이터 역량을 갖추는 것이 목표였습니다.

취약점 수집·패치 우선순위(LPP) 등 기반 보안 데이터 작업은 별도 항목으로 정리.