유럽연합 클라우드 해킹… 공급망 공격이 드러낸 ‘보이지 않는 취약성’
이든 기자
metax@metax.kr | 2026-04-10 11:00:00
“신뢰된 도구가 공격 경로”… 소프트웨어 공급망 보안의 구조적 위기
[메타X(MetaX)]유럽연합(EU) 집행위원회가 운영하는 공공 웹 플랫폼 europa.eu가 대규모 클라우드 해킹 공격을 받은 사실이 확인되면서 사이버보안 업계에 충격을 주고 있다. 이번 사건은 2026년 3월 24일 이상 트래픽과 API 오남용 징후가 포착되며 시작됐고, 다음 날인 3월 25일 EU 사이버보안 대응기관 CERT-EU에 공식 보고됐다. 조사 결과 공격자는 AWS 계정을 탈취해 약 91.7GB에 달하는 데이터를 외부로 유출했으며, 일부 데이터는 이미 다크웹에 공개된 것으로 확인됐다.
이번 사건은 단순한 시스템 침해를 넘어 ‘소프트웨어 공급망 공격’이라는 점에서 더욱 심각하게 평가된다. 공격자는 보안 스캐닝 도구인 Trivy의 변조된 버전을 활용해 내부 시스템에 침투했고, 이를 통해 AWS API 키와 같은 민감한 인증 정보를 탈취했다. 정상적인 업데이트 경로를 통해 악성 코드가 유입됐고, 내부 시스템이 이를 신뢰하고 실행하면서 보안이 무너진 것이다.
이후 공격자는 탈취한 AWS 키를 이용해 추가 접근 권한을 확보하고, 내부 데이터를 탐색한 뒤 외부로 유출했다. 동시에 TruffleHog와 같은 도구를 활용해 추가적인 비밀 정보를 탐색하며 시스템 내부로 확산을 시도한 것으로 알려졌다. 유출된 데이터에는 이름과 이메일 등 개인정보, 이메일 통신 내용, 데이터베이스 일부가 포함됐으며, 최대 70여 개 기관이 영향을 받았을 가능성이 제기된다.
이번 사건에서 가장 큰 충격은 ‘보안을 위해 사용하는 도구가 공격 경로가 됐다’는 점이다. 현대 개발 환경은 오픈소스와 자동화된 업데이트에 크게 의존하고 있는데, 이러한 신뢰 구조 자체가 공격 표면이 될 수 있음을 보여준 사례다. 특히 CI/CD(지속적 통합·배포) 환경에서는 검증된 도구를 자동으로 받아 실행하는 경우가 많아, 한 번의 침투가 전체 시스템으로 빠르게 확산될 수 있다.
또한 공급망 공격의 특성상 피해 범위가 단일 조직에 그치지 않는다는 점도 드러났다. 하나의 계정이 침해되자 연결된 여러 기관의 데이터까지 영향을 받는 구조가 확인됐으며, 이는 클라우드 중심 구조가 가진 ‘집중화된 위험’을 보여준다. 인증 키 하나만으로 광범위한 접근이 가능하다는 점에서, 기존 보안 체계의 한계도 함께 드러났다.
데이터 유출 이후의 2차 피해 가능성도 우려된다. 이미 일부 정보가 다크웹에 공개된 만큼, 향후 피싱 공격이나 사회공학적 해킹, 추가 계정 탈취 등으로 이어질 가능성이 높다는 분석이다. 단순한 정보 유출을 넘어 장기적인 보안 위협으로 확산될 수 있는 상황이다.
이번 사건은 현대 소프트웨어 개발 방식 자체에 대한 근본적인 질문을 던진다. 지금까지는 ‘신뢰할 수 있는 도구를 빠르게 도입하는 것’이 효율성과 생산성을 높이는 핵심 전략이었다면, 이제는 그 신뢰 자체를 의심해야 하는 환경으로 바뀌고 있다. 외부 공격을 막는 데 집중했던 기존 보안 패러다임에서 벗어나, 내부에서 시작되는 침해를 전제로 한 보안 전략이 요구되고 있다.
실제로 글로벌 보안 업계에서는 SolarWinds 사건이나 오픈소스 패키지 공격과 같이 ‘정상 경로를 통한 침투’가 가장 위험한 위협으로 지목되어 왔다. 이번 EU 사례는 이러한 위험이 공공기관 수준에서도 현실화되고 있음을 보여주는 대표적인 사례로 평가된다.
향후 보안 전략 역시 변화가 불가피할 전망이다. 인증 키 관리 강화, 접근 권한 최소화, 공급망 검증 체계 구축과 함께, 내부 시스템조차 신뢰하지 않는 ‘제로 트러스트’ 모델이 더욱 확산될 가능성이 크다. 또한 클라우드 환경에서는 권한을 분산하고 접근을 세분화하는 방향으로 구조 재설계가 요구되고 있다.
결국 이번 유럽연합 클라우드 해킹 사건은 단순한 보안 사고를 넘어, 디지털 시대의 ‘신뢰 기반 시스템’이 근본적으로 흔들리고 있음을 보여준다. 이제 우리는 안전한 도구를 사용하는 것이 아니라, 언제든 침투될 수 있는 환경 위에서 시스템을 운영하고 있다는 현실을 마주하고 있다. 그리고 그 속에서 남는 질문은 하나다. 우리는 과연 무엇을 신뢰할 수 있는가.
[ⓒ META-X. 무단전재-재배포 금지]