Eclipse Foundation, Open VSX 확장 프로그램에 사전 보안 검사 의무화

Eclipse Foundation은 Microsoft의 Visual Studio Code(VS Code) Marketplace 오픈소스 대체제인 Open VSX Registry에 제출되는 모든 확장 프로그램에 대해 사전 보안 검사를 의무화하는 새로운 보안 정책을 발표했습니다. 이 사전 예방 조치는 악성 확장 프로그램이 처음부터 게시되는 것을 방지하여 **공급망 위협(supply chain threats)**을 완화하는 것을 목표로 합니다.

주요 내용

• 대상: Eclipse Foundation(Open VSX Registry 유지 관리자)
• 내용: VS Code 확장 프로그램에 대한 사전 게시 보안 검사 의무화
• 시기: 정책 시행은 향후 몇 개월 내 시작(정확한 일정 미정)
• 목적: 오픈소스 개발 도구를 표적으로 한 공급망 공격(supply chain attacks) 대응
• 적용 범위: Open VSX Registry에 제출되는 모든 확장 프로그램

기술적 배경

Open VSX Registry는 VS Code 확장 프로그램에 대한 커뮤니티 기반 저장소로, Microsoft의 독점적 Marketplace에 대한 대안을 제공합니다. 과거에는 악성 확장 프로그램을 식별하기 위해 게시 후 검토 및 사용자 신고와 같은 사후 대응 조치에 의존해 왔습니다. 이번 새로운 정책은 Eclipse Foundation을 **예방적 보안 모델(preventive security model)**로 전환하여 소프트웨어 공급망 강화를 위한 업계 동향과 일치시키고 있습니다.

보안 검사의 구체적인 기술적 세부 사항은 아직 공개되지 않았지만, Eclipse Foundation은 다음과 같은 조합을 구현할 것으로 예상됩니다:

• 정적 코드 분석(static code analysis): 취약점 또는 악성 패턴 감지
• 서명 검증(signature verification): 확장 프로그램 진위 확인
• 의존성 스캔(dependency scanning): 서드파티 라이브러리의 알려진 취약점 식별
• 행위 분석(behavioral analysis): 의심스러운 런타임 활동 플래그 지정

영향 분석

이번 정책 변경은 오픈소스 생태계에서 **공급망 공격(supply chain attacks)**에 대한 우려가 커지는 가운데 이루어졌습니다. 과거 악성 VS Code 확장 프로그램은 다음과 같은 공격에 사용되었습니다:

• 민감한 데이터 유출(exfiltrate sensitive data): 자격 증명, 소스 코드 등
• 멀웨어 배포(deploy malware): 백도어, 랜섬웨어 등
• 개발자 시스템에서 원격 코드 실행(execute remote code)

Eclipse Foundation은 사전 게시 검사를 의무화함으로써 이러한 공격의 위험을 줄이면서도 레지스트리의 오픈소스 정신을 유지하고자 합니다. 그러나 정책의 효과는 구현된 검사의 엄격성과 합법적인 확장 프로그램의 검토 지연 없이 규모를 확대할 수 있는 재단 능력에 따라 달라질 것입니다.

개발자를 위한 권장 사항

Open VSX Registry를 사용하는 보안 전문가와 개발자는 다음 사항을 준수해야 합니다:

1. Eclipse Foundation의 정책 시행 일정 및 확장 프로그램 제출에 대한 구체적인 요구 사항 관련 업데이트 모니터링
2. 신뢰할 수 있는 저장소에서 제공되었더라도 워크플로에 사용 중인 기존 확장 프로그램의 취약점 또는 악성 행위 검토
3. 확장 프로그램 개발 시 의존성 관리 및 정기적인 취약점 스캔을 포함한 안전한 코딩 관행 채택
4. 의심스러운 확장 프로그램 신고를 통해 커뮤니티 기반 보안 노력 지원

Eclipse Foundation의 이번 조치는 오픈소스 소프트웨어 배포에서 **사전 예방적 보안(proactive security)**으로의 업계 전반의 전환을 반영합니다. 유사한 조치는 GitHub(Dependency Review API) 및 npm(유지 관리자에 대한 2단계 인증 의무화)과 같은 플랫폼에서도 채택되었습니다.