한국정보기술진흥원한국인공지능올림피아드 (KOAI) 2026 개최안내

퍼플렉시티, 공급망 보안 점검 도구 '범블비' 오픈소스로 공개...개발자 PC의 위험 패키지·확장 프로그램을 읽기 전용으로 탐지

맥·리눅스 개발자 PC의 패키지·확장·AI 설정을 읽어 위험 노출을 점검한다
[한국정보기술신문] 인공지능 검색 기업 퍼플렉시티가 지난 22일 자사 개발자 시스템을 보호하기 위해 내부에서 쓰던 보안 도구 '범블비(Bumblebee)'를 오픈소스로 공개했다. 범블비는 맥OS와 리눅스 개발자 PC를 점검하는 읽기 전용 스캐너다. 새로운 취약점이 알려졌을 때 어떤 기기가 위험에 노출됐는지 빠르게 확인하는 것이 목적이다. 코드는 깃허브에 공개됐으며, 사용 허가가 비교적 자유로운 아파치 2.0 라이선스를 따른다. 현재 공개된 판은 v0.1.1이다.
image.png

무엇을 하는 도구인가

범블비는 개발자 PC에 흩어져 있는 메타데이터를 읽어 구조화된 목록으로 만든다. 점검 대상은 각종 패키지 잠금 파일, 패키지 관리자 설치 정보, 편집기 확장 프로그램, 브라우저 확장 프로그램, 그리고 MCP 설정 파일이다. 지원 범위는 npm, pnpm, Yarn, Bun, PyPI, Go 모듈, 루비젬스, 컴포저 등이다. MCP의 경우 클로드 데스크톱 설정 등 JSON 형식 파일을 읽는다. 다만 Codex의 config.toml과 Continue의 YAML 설정은 v0.1에서는 읽지 않는다.
여기서 한 가지 짚을 점이 있다. 범블비가 코드를 분석해 악성 여부를 스스로 판별하는 것은 아니다. 보안팀이 직접 만든 '노출 목록'과 대조하는 방식이다. 이 목록은 생태계, 패키지 이름, 영향을 받는 버전을 적은 JSON 파일이다. 범블비가 일치하는 항목을 찾으면 심각도, 목록 식별자, 근거를 담은 결과 기록을 남긴다. 어떤 항목 때문에 탐지됐는지 추적할 수 있다.

'읽기 전용'으로 설계한 이유

범블비의 핵심 특징은 '읽기 전용'이다. 설치 스크립트나 생명주기 훅을 실행하지 않고, npm·pnpm·번·pip 같은 패키지 관리자를 직접 돌리지도 않는다. 응용 프로그램의 원본 소스 파일도 읽지 않는다.
이런 설계에는 이유가 있다. npm 패키지에는 설치 순간 자동으로 실행되는 스크립트가 들어 있을 수 있다. 최근 공급망 공격이 퍼지는 주요 경로가 바로 이 부분이다. 만약 점검 도구가 패키지 관리자를 직접 실행한다면, 점검을 하려다 오히려 공격을 작동시킬 수 있다. 범블비는 메타데이터만 읽어 점검 행위 자체가 위험이 되지 않도록 막았다. 다만 범블비는 프로세스나 네트워크를 감시하는 EDR(단말 탐지·대응) 도구는 아니라는 점도 함께 밝히고 있다.

세 가지 점검 모드와 내부 활용

범블비는 한 번 실행하면 한 차례 점검하고 종료하는 방식이다. 점검 범위에 따라 세 가지 모드를 둔다. '베이스라인'은 공용·사용자 패키지 경로와 확장 프로그램, MCP 설정을 가볍게 훑는다. '프로젝트'는 ~/code, ~/src 같은 작업 디렉터리를 본다. 'deep'은 운영자가 지정한 경로를 훑으며, 보안 사고가 발생했을 때 주로 쓴다.
퍼플렉시티는 이 도구를 자사 검색 제품과 Comet 브라우저, 컴퓨터 에이전트를 만드는 개발자 시스템 보호에 쓰고 있다고 밝혔다. 위협 정보가 들어오면 컴퓨터 에이전트가 목록 수정안을 만들어 깃허브에 올리고, 사람이 검토·반영한 뒤 단말에서 범블비를 돌리는 흐름이다.

평가와 과제

공개 직후 반응은 대체로 긍정적이었다. 내부 보안 도구를 투명하게 공개했다는 점이 호평을 받았다. 반면 비판도 있었다. 맥OS와 리눅스만 지원하고 윈도우는 지원하지 않는 점, 기존 샌드박스 개념과 크게 다르지 않다는 지적, 능동적 차단 기능이 없다는 점 등이 한계로 거론됐다.
정리하면 범블비는 '무엇이 위험한지 이미 아는' 상황에서 빠르게 노출 기기를 찾아내는 데 초점을 둔 도구다. 알려지지 않은 새로운 위협을 스스로 찾아내는 도구는 아니다. 공개된 지 얼마 되지 않은 초기 버전인 만큼, 지원 범위와 기능이 앞으로 어떻게 넓어질지가 과제로 남는다.
한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org

함께 읽으면 좋은 기사

엔비디아, 로봇용 소형 AI 컴퓨터 '젯슨 토르' 2종 내놨다...손바닥만 한 모듈로 로봇·엣지 AI 대중화 겨냥...블랙웰 기반 T3000·T2000 공개, 크기·전력 절반으로 줄이고 파운데이션 모델을 현장 기기에서 직접 구동, 2027년 1분기 정식 출시

엔비디아, 로봇용 소형 AI 컴퓨터 '젯슨 토르' 2종 내놨다...손바닥만 한 모듈로 로봇·엣지 AI 대중화 겨냥...블랙웰 기반 T3000·T2000 공개, 크기·전력 절반으로 줄이고 파운데이션 모델을 현장 기기에서 직접 구동, 2027년 1분기 정식 출시

반도체 4
마이크로소프트, 30년 전 '만화 채팅' 코믹챗 오픈소스로 공개...코믹 산스 세상에 알린 그 프로그램...대화를 만화 컷으로 바꾸던 1996년 IRC 채팅 프로그램, 깃허브에 소스코드 전면 개방하고 AI 현대화 시도까지 함께 담아

마이크로소프트, 30년 전 '만화 채팅' 코믹챗 오픈소스로 공개...코믹 산스 세상에 알린 그 프로그램...대화를 만화 컷으로 바꾸던 1996년 IRC 채팅 프로그램, 깃허브에 소스코드 전면 개방하고 AI 현대화 시도까지 함께 담아

정보기술 · 인공지능 4
구글, 새 학기 쇼핑 돕는 'AI 쇼핑 도구' 6가지 공개...검색 속 AI 모드부터 렌즈·가상 착용까지...연결한 앱으로 개인 맞춤 추천하고, 매장별 가격 3개월 이력 비교하며, 옷은 사기 전 화면에서 입어본다

구글, 새 학기 쇼핑 돕는 'AI 쇼핑 도구' 6가지 공개...검색 속 AI 모드부터 렌즈·가상 착용까지...연결한 앱으로 개인 맞춤 추천하고, 매장별 가격 3개월 이력 비교하며, 옷은 사기 전 화면에서 입어본다

인공지능 3
삼성, '포용금융' 확대 위해 2000억원 낸다...미소금융재단 통해 취약계층·영세 자영업자 약 4만명 지원, 삼성전자 1500억·금융 계열사 500억 공동 출연으로 '5년간 5조원 사회 기여' 약속 이행

삼성, '포용금융' 확대 위해 2000억원 낸다...미소금융재단 통해 취약계층·영세 자영업자 약 4만명 지원, 삼성전자 1500억·금융 계열사 500억 공동 출연으로 '5년간 5조원 사회 기여' 약속 이행

유관기관 3
프리즘ML, '27B급 AI' 스마트폰서 돌린다...세계 최초 '손안의 27B 모델' 공개...3.9GB로 아이폰에 담아, 삼진·1비트 초저비트 기술로 성능 90% 지키며 온디바이스 에이전트 시대 연다

프리즘ML, '27B급 AI' 스마트폰서 돌린다...세계 최초 '손안의 27B 모델' 공개...3.9GB로 아이폰에 담아, 삼진·1비트 초저비트 기술로 성능 90% 지키며 온디바이스 에이전트 시대 연다

인공지능 4
코레일-에스알, 8월 통합 앱 앞두고 '철도회원 통합' 시작...9월 통합열차 예매 위해 통합회원 전환 필요, 7월 14일 전환 웹사이트 열려 코레일 회원은 자동 전환·SR 단독회원은 신규 가입

코레일-에스알, 8월 통합 앱 앞두고 '철도회원 통합' 시작...9월 통합열차 예매 위해 통합회원 전환 필요, 7월 14일 전환 웹사이트 열려 코레일 회원은 자동 전환·SR 단독회원은 신규 가입

유관기관 3
공무원이 직접 만든 'AI 법령 비서', 14일 시범 개시...법제처·행안부·과기정통부 협업으로 1개월 만에 개발...판례 6만·법령 24만 건 탑재해 중앙·지방 공무원의 법적 질문에 AI가 즉시 응답, 독자 AI 파운데이션 모델 활용

공무원이 직접 만든 'AI 법령 비서', 14일 시범 개시...법제처·행안부·과기정통부 협업으로 1개월 만에 개발...판례 6만·법령 24만 건 탑재해 중앙·지방 공무원의 법적 질문에 AI가 즉시 응답, 독자 AI 파운데이션 모델 활용

유관기관 · 인공지능 4
SK하이닉스, 나스닥 상장으로 '글로벌 투자자 저변' 넓힌다...'AI 핵심 파트너' 입지 굳히기...美 자본시장서 HBM 경쟁력 앞세워 차세대 컴퓨팅 생태계와 연결 강화, 상장 전 로드쇼서 성장성 주목받아

SK하이닉스, 나스닥 상장으로 '글로벌 투자자 저변' 넓힌다...'AI 핵심 파트너' 입지 굳히기...美 자본시장서 HBM 경쟁력 앞세워 차세대 컴퓨팅 생태계와 연결 강화, 상장 전 로드쇼서 성장성 주목받아

반도체 · 인공지능 3
구글, 광고에 'AI로 만들었나' 표시 붙인다...'이 광고는 어떻게 만들어졌나' 패널 도입...검색·유튜브·디스커버에 전 세계 적용, 구글 AI 도구로 만든 광고엔 자동 고지하고 다른 도구도 광고주가 직접 표시

구글, 광고에 'AI로 만들었나' 표시 붙인다...'이 광고는 어떻게 만들어졌나' 패널 도입...검색·유튜브·디스커버에 전 세계 적용, 구글 AI 도구로 만든 광고엔 자동 고지하고 다른 도구도 광고주가 직접 표시

인공지능 2
클로드 코드, 첫 요청에 오픈코드보다 토큰 4.7배 더 쓴다...한 컨설팅사가 'API 경계'에서 측정...사용자가 한 글자 치기 전 3만3천 토큰 소모, 캐시 재작성으로 요금 눈덩이

클로드 코드, 첫 요청에 오픈코드보다 토큰 4.7배 더 쓴다...한 컨설팅사가 'API 경계'에서 측정...사용자가 한 글자 치기 전 3만3천 토큰 소모, 캐시 재작성으로 요금 눈덩이

인공지능 4
SK하이닉스 곽노정 CEO, 나스닥서 'AI 리더십' 선언...신뢰·혁신·성장 3대 원칙 제시...오프닝 벨 타종식 기념사서 25년 위기 극복사와 HBM 혁신 되짚으며 "AI가 있는 모든 곳에 함께할 것" 다짐

SK하이닉스 곽노정 CEO, 나스닥서 'AI 리더십' 선언...신뢰·혁신·성장 3대 원칙 제시...오프닝 벨 타종식 기념사서 25년 위기 극복사와 HBM 혁신 되짚으며 "AI가 있는 모든 곳에 함께할 것" 다짐

반도체 3
구글 제미나이, 'AI 개인 과외' 스터디 노트북 내놨다...퀴즈로 약점 찾아 맞춤 수업 짜준다...자료 올리면 진단 시험으로 강·약점 파악해 짧은 수업 제공, SAT 등 시험 대비까지…전 세계 무료 공개

구글 제미나이, 'AI 개인 과외' 스터디 노트북 내놨다...퀴즈로 약점 찾아 맞춤 수업 짜준다...자료 올리면 진단 시험으로 강·약점 파악해 짧은 수업 제공, SAT 등 시험 대비까지…전 세계 무료 공개

인공지능 4