무슨 일이 있었나
2026년 3월 말, 널리 사용되는 JavaScript 패키지 axios의 일부 악성 버전이 npm에 게시되며 공급망 보안 이슈가 발생했습니다. 알려진 문제 버전은 axios@1.14.1, axios@0.30.4이며, 악성 의존성 plain-crypto-js가 함께 설치될 수 있다는 보고가 이어졌습니다. 개발자가 직접 설치하지 않았더라도 AI 코딩 도구, 자동 의존성 업데이트, CI 설치 과정에서 유입되었을 가능성을 고려해야 합니다.
가장 먼저 확인할 것
1. npm list axios 또는 package-lock.json에서 axios 1.14.1 / 0.30.4가 설치되었는지 확인합니다. 2. node_modules/plain-crypto-js 경로가 존재하는지 확인합니다. 3. CI/CD 로그에서 해당 axios 버전 설치 이력이 있었는지 확인합니다. 4. OS별 RAT 아티팩트가 확인되면 시스템 완전 감염으로 간주하고 즉시 격리합니다.
권장 점검 명령 예시
- npm list axios - grep -R "axios" package-lock.json - find node_modules -maxdepth 2 -name plain-crypto-js - 최근 CI 파이프라인 로그에서 axios 1.14.1 / 0.30.4 설치 흔적 검색 특히 package-lock.json과 실제 node_modules를 함께 봐야 합니다. 이미 악성 패키지가 설치되었다가 지워진 경우, lockfile 또는 CI 로그에서만 흔적이 남을 수도 있습니다.
감염 의심 시 즉시 해야 할 조치
- 악성 버전이 설치된 시스템은 즉시 네트워크에서 분리합니다. - npm 토큰, GitHub 토큰, 클라우드 키, API 비밀키, SSH 키 등 모든 비밀값을 교체합니다. - CI/CD 비밀값도 전부 교체합니다. - 설치 시점 이후 배포된 서버나 컨테이너 이미지가 있다면 전부 재검토합니다. - 단순 패키지 삭제로 끝내지 말고, RAT 실행 가능성을 전제로 대응합니다.
왜 최근 AI 코딩 사용자를 특히 조심해야 하나
최근 AI 코딩 도구는 개발자가 명시적으로 요청하지 않아도 의존성을 자동 제안·추가할 수 있습니다. 따라서 axios를 의식적으로 설치하지 않았더라도, 생성 코드나 임시 테스트 코드, 에이전트 기반 자동화 흐름에서 해당 버전이 들어갔을 가능성을 배제하면 안 됩니다. 최근 며칠 내 AI 기반 코딩을 사용했다면 점검 범위를 넓게 잡는 것이 안전합니다.
“패키지 공급망 해킹은 '내가 설치한 적 없다'는 가정부터 버려야 대응이 시작됩니다.”
— ARC Group 보안 메모
ARC Group 권장 대응 기준
axios 1.14.1 또는 0.30.4 설치 이력이 있고 plain-crypto-js 또는 관련 RAT 흔적이 발견되면, 단순 취약 패키지 교체가 아니라 침해사고 대응 기준으로 움직이는 것을 권장합니다. 개발자 PC, 배포 서버, CI 환경을 분리해서 보고, 어떤 자격 증명이 노출될 수 있었는지부터 역산해야 합니다.