패키지로 SW를 받는 건 편하지만 「악성 코드 받기」도 가능.
GPG 서명·신뢰된 저장소·정기 업데이트가 보안의 기본.
GPG 서명 검증.
apt·dnf·pacman 모두 패키지에 GPG 서명 — 공식 키로 서명 안 된 패키지는 거부.
새 저장소 추가 시 그 키도 등록 필요.
안 등록하면 「신뢰 안 됨」 경고.
절대 「강제 무시」하지 말고 키 출처 확인.
신뢰된 저장소.
공식 distro 저장소가 가장 안전.
PPA·서드파티는 「누가 운영하나」 확인.
인기 있고 활발한 PPA는 OK, 무명·새로 생긴 건 위험.
회사 환경은 사설 mirror로 「검증된 패키지만」 접근.
보안 업데이트.
unattended-upgrades(Ubuntu) 또는 dnf-automatic(RHEL)으로 보안 패치 자동 적용.
「패치 안 적용」으로 인한 사고가 가장 흔함 — 자동 업데이트가 가장 안전.
공급망 공격.
2017년 event-stream npm 패키지 사건처럼 「인기 패키지가 악성으로 변조」하는 공급망 공격 증가.
1) 진짜로 필요한 의존성만.
2) 정기적으로 사용 패키지 점검.
3) 알 수 없는 PPA·저장소 신중.
4) 가능하면 SBOM(Software Bill of Materials) 관리.
패키지 편의의 그림자도 알고 사용해야 합니다.
한 줄 요약
패키지 보안 — GPG 서명 검증, 공식·인기 저장소만 신뢰, 자동 보안 업데이트.
공급망 공격 증가 — 의존성 최소화·정기 점검·SBOM 관리.
편의의 그림자.
더 알아볼 것
- unattended-upgrades 설정
- SBOM 도구 — Syft·Trivy
- Sigstore — 패키지 서명 검증
