사고/사건
GlassWorm 공급망 웜 공격 — 자동차 소프트웨어 개발 파이프라인 직접 위협
보도일: 2026년 4월 2일|수집일: 2026년 4월 6일
요약
GlassWorm이라 명명된 정교한 소프트웨어 공급망 웜이 자동차 소프트웨어 개발 환경을 직접 위협하고 있다. VS Code 확장 프로그램과 npm 패키지를 통해 전파되며, 솔라나 블록체인과 Google Calendar를 C2로 활용한다.
본문
보안기업 Koi Security가 2025년 가을 최초 발견한 GlassWorm은 2026년 1월까지 Open VSX 레지스트리에서 4개 악성 확장 프로그램으로 확산되어 22,000회 이상 다운로드되었다. 3월 3~9일 사이에는 151개 GitHub 저장소와 72개 이상의 Open VSX 확장 프로그램으로 동시 확산되는 조직적 다중 생태계 공격으로 발전했다. 이 웜은 브라우저 자격증명, 암호화폐 지갑, VPN 설정, GitHub·npm 토큰, Apple Keychain 데이터베이스를 탈취하며, 명령제어(C2) 인프라로 솔라나(Solana) 블록체인과 Google Calendar를 사용해 탐지와 차단이 극히 어렵다. 자동차 업계가 차량을 소프트웨어 정의 플랫폼으로 전환하면서 동일한 오픈소스 생태계, CI/CD 파이프라인, 개발 환경에 의존하고 있어, Tier-1 공급업체의 빌드 환경이 감염되면 수백만 대 차량에 탑재되는 소프트웨어에 오염된 코드가 주입될 수 있다는 점이 핵심 위험으로 지적되었다.
시사점
GlassWorm은 차량 자체가 아닌 차량 소프트웨어를 만드는 개발 환경을 공격하여 기존 TARA의 사각지대를 드러낸다. OEM과 Tier-1/2 공급업체는 CI/CD 파이프라인을 핵심 공격 표면으로 간주하고 개발 도구에 대한 보안 감사를 강화해야 한다.