NPM 패키지 보안 침해, 개발자들은 어떻게 대응해야 할까?

커뮤니티에서는 NPM 패키지가 설치 직후 코드를 실행하는 방식에 대한 비판이 제기됨. 이는 공급망 공격(Supply Chain Attack)의 주요 경로로 지적되며, 데이터 미저장 정책(Zero-Retention Policy)을 적용하거나 격리된 환경(Isolated Environment)에서 코드를 실행해야 한다는 의견이 다수임. 일부에서는 의존성 코드를 직접 포크(Fork)하여 관리하는 방안도 제시되었으나, 현실적인 어려움이 크다는 지적이 있음.

논의에서는 최소 1~2일의 패키지 배포 지연(Package Release Cooldown) 정책 도입이 효과적이라는 의견이 많음. 이를 통해 악의적인 코드가 배포되더라도 신속한 탐지 및 대응 시간(Detection and Response Time)을 확보할 수 있다는 것임. 또한, CI/CD 파이프라인(CI/CD Pipeline)의 각 단계를 분리하여 코드 실행 환경과 배포 환경을 엄격히 분리하는 방안도 중요하게 언급됨.

일부 사용자들은 보안 강화 이미지(Secure Images) 및 라이브러리 서비스의 필요성을 강조함. 이러한 서비스는 비용이 발생하지만, 공급망 보안(Supply Chain Security)을 위한 필수적인 투자라는 평가임. 또한, AI 기반 보안 솔루션을 활용하여 잠재적 위협을 탐지하고, 개발자 노트북 보안 강화를 위한 도구 도입도 제안됨.

이번 사건을 계기로 자바스크립트 생태계 전반에 대한 회의론이 제기됨. 일부 개발자들은 순수 HTML/CSS 기반으로 프로젝트를 리팩토링하거나, Java와 같은 다른 언어 생태계로의 전환을 고려하고 있다고 밝힘. AI로 인해 프로그래밍 언어 전반의 사이버 보안 위험(Cybersecurity Risk)이 증가하고 있다는 점도 이러한 움직임에 영향을 미치고 있음.