퍼플렉시티, 공급망 보안 점검 도구 '범블비' 오픈소스로 공개...개발자 PC의 위험 패키지·확장 프로그램을 읽기 전용으로 탐지

[한국정보기술신문] 인공지능 검색 기업 퍼플렉시티가 지난 22일 자사 개발자 시스템을 보호하기 위해 내부에서 쓰던 보안 도구 '범블비(Bumblebee)'를 오픈소스로 공개했다. 범블비는 맥OS와 리눅스 개발자 PC를 점검하는 읽기 전용 스캐너다. 새로운 취약점이 알려졌을 때 어떤 기기가 위험에 노출됐는지 빠르게 확인하는 것이 목적이다. 코드는 깃허브에 공개됐으며, 사용 허가가 비교적 자유로운 아파치 2.0 라이선스를 따른다. 현재 공개된 판은 v0.1.1이다.

범블비는 개발자 PC에 흩어져 있는 메타데이터를 읽어 구조화된 목록으로 만든다. 점검 대상은 각종 패키지 잠금 파일, 패키지 관리자 설치 정보, 편집기 확장 프로그램, 브라우저 확장 프로그램, 그리고 MCP 설정 파일이다. 지원 범위는 npm, pnpm, Yarn, Bun, PyPI, Go 모듈, 루비젬스, 컴포저 등이다. MCP의 경우 클로드 데스크톱 설정 등 JSON 형식 파일을 읽는다. 다만 Codex의 config.toml과 Continue의 YAML 설정은 v0.1에서는 읽지 않는다.

여기서 한 가지 짚을 점이 있다. 범블비가 코드를 분석해 악성 여부를 스스로 판별하는 것은 아니다. 보안팀이 직접 만든 '노출 목록'과 대조하는 방식이다. 이 목록은 생태계, 패키지 이름, 영향을 받는 버전을 적은 JSON 파일이다. 범블비가 일치하는 항목을 찾으면 심각도, 목록 식별자, 근거를 담은 결과 기록을 남긴다. 어떤 항목 때문에 탐지됐는지 추적할 수 있다.

범블비의 핵심 특징은 '읽기 전용'이다. 설치 스크립트나 생명주기 훅을 실행하지 않고, npm·pnpm·번·pip 같은 패키지 관리자를 직접 돌리지도 않는다. 응용 프로그램의 원본 소스 파일도 읽지 않는다.

이런 설계에는 이유가 있다. npm 패키지에는 설치 순간 자동으로 실행되는 스크립트가 들어 있을 수 있다. 최근 공급망 공격이 퍼지는 주요 경로가 바로 이 부분이다. 만약 점검 도구가 패키지 관리자를 직접 실행한다면, 점검을 하려다 오히려 공격을 작동시킬 수 있다. 범블비는 메타데이터만 읽어 점검 행위 자체가 위험이 되지 않도록 막았다. 다만 범블비는 프로세스나 네트워크를 감시하는 EDR(단말 탐지·대응) 도구는 아니라는 점도 함께 밝히고 있다.

범블비는 한 번 실행하면 한 차례 점검하고 종료하는 방식이다. 점검 범위에 따라 세 가지 모드를 둔다. '베이스라인'은 공용·사용자 패키지 경로와 확장 프로그램, MCP 설정을 가볍게 훑는다. '프로젝트'는 ~/code, ~/src 같은 작업 디렉터리를 본다. 'deep'은 운영자가 지정한 경로를 훑으며, 보안 사고가 발생했을 때 주로 쓴다.

퍼플렉시티는 이 도구를 자사 검색 제품과 Comet 브라우저, 컴퓨터 에이전트를 만드는 개발자 시스템 보호에 쓰고 있다고 밝혔다. 위협 정보가 들어오면 컴퓨터 에이전트가 목록 수정안을 만들어 깃허브에 올리고, 사람이 검토·반영한 뒤 단말에서 범블비를 돌리는 흐름이다.

공개 직후 반응은 대체로 긍정적이었다. 내부 보안 도구를 투명하게 공개했다는 점이 호평을 받았다. 반면 비판도 있었다. 맥OS와 리눅스만 지원하고 윈도우는 지원하지 않는 점, 기존 샌드박스 개념과 크게 다르지 않다는 지적, 능동적 차단 기능이 없다는 점 등이 한계로 거론됐다.

정리하면 범블비는 '무엇이 위험한지 이미 아는' 상황에서 빠르게 노출 기기를 찾아내는 데 초점을 둔 도구다. 알려지지 않은 새로운 위협을 스스로 찾아내는 도구는 아니다. 공개된 지 얼마 되지 않은 초기 버전인 만큼, 지원 범위와 기능이 앞으로 어떻게 넓어질지가 과제로 남는다.