GitHub: npm, 고영향 계정에 72시간 예방적 계정 보호 도입

공급망 공격이란 무엇이며 왜 npm입니까?

공급망 공격 — 악의적인 행위자가 인기 있는 오픈소스 패키지를 침해하고 해당 패키지를 사용하는 수백만 프로젝트에 자동으로 전파되는 악성 코드를 삽입하는 공격 — 은 현대 소프트웨어 개발에서 가장 위험한 위협 중 하나입니다. 250만 개 이상의 패키지를 보유한 레지스트리인 npm은 특히 매력적인 표적입니다. 하나의 인기 패키지를 침해하면 전 세계 수천 개의 애플리케이션을 동시에 위험에 빠뜨릴 수 있기 때문입니다. 이전에는 접근 권한 탈취 시점과 악성 패키지 게시 사이에 아무런 보호 기간이 없었습니다.

새로운 조치: 72시간 읽기 전용 보호

GitHub는 2026년 6월 25일 npm이 이제 고영향 계정 — 다운로드 수가 매우 많고 생태계에서 광범위하게 사용되는 패키지를 보유한 계정 — 에 72시간 읽기 전용 보호를 적용한다고 발표했습니다. 보호는 이메일 주소 변경 또는 2FA 복구 코드 수정이라는 두 가지 민감한 작업 시 자동으로 활성화됩니다. 바로 이 두 지점이 계정을 탈취하려는 공격자의 전형적인 목표입니다.

보호 기간 동안 무엇이 차단됩니까?

72시간 기간 동안 계정은 다음을 수행할 수 없습니다.

• 자동 게시에 사용될 수 있는 새 API 토큰 발급
• 패키지 또는 기존 패키지의 새 버전 게시

합법적인 계정 소유자는 알림을 받고 대응할 충분한 시간을 갖습니다 — 변경이 계획된 것이든 침해의 결과든 관계없이. 보호 기간이 추가적인 보안 신호 없이 만료되면 접근이 정상 작동으로 돌아옵니다.

이전 상태와의 비교

이 변경 이전에 npm 계정을 탈취한 공격자는 커뮤니티에 경고나 지연 없이 즉시 악성 패키지를 게시할 수 있었습니다. 이제 공격자가 유효한 자격 증명을 보유하더라도 탐지 및 조치를 위한 72시간이 주어지는 구조적 장벽이 생겼습니다. 이는 공급망 방어의 질적 변화입니다. 사후적(악성 패키지 게시 후 제거)에서 예방적(계정 무결성을 확인하는 동안 게시 차단)으로의 전환입니다.