파이썬 생태계를 노린 공급망 공격
최근 사이버 보안 업계는 파이썬 오픈소스 생태계를 겨냥한 공급망 공격 정황을 포착하였습니다. 파이썬은 누구나 쉽게 다룰 수 있는 장점 덕분에 전 세계 개발자들에게 널리 사용되고 있으나, 이와 동시에 해커들에게도 매력적인 타깃이 되고 있습니다.
파이썬 패키지 저장소(PyPI)를 이용한 공격
보안업체 리버싱랩스와 소켓이 각각 발표한 조사 결과에 따르면, 문제가 된 악성 패키지는 총 세 가지입니다.
파이썬 패키지(bitcoinlibdbfix, bitcoinlib-dev, disgrasya)는 신뢰받는 PyPI에 등록되어 다수 다운로드되었으며, 그 결과 사용자들의 민감한 정보가 탈취되거나 도난된 신용카드 정보가 자동으로 테스트되는 등 심각한 피해가 우려되고 있습니다.
비트코인 라이브러리를 가장한 악성코드
리버싱랩스에 따르면, bitcoinlibdbfix와 bitcoinlib-dev는 정상적인 암호화폐 지갑 기능을 제공하는 파이썬 라이브러리인 비트코인립(bitcoinlib)의 문제를 해결한다는 명목 아래 배포되었습니다.
그러나 이들 패키지는 사용자 시스템 내 민감한 데이터베이스 파일을 외부로 유출하려는 의도가 있었습니다. 공격자는 깃허브(GitHub) 이슈 토론에도 참여하여, 마치 실제 문제를 해결해 주는 것처럼 위장함으로써 사용자들을 속였습니다.
해당 패키지들은 삭제되기 전까지 각각 1,101회와 735회 다운로드되는 등 널리 확산되었음을 확인할 수 있습니다.
신용카드 정보를 노린 ‘disgrasya’ 패키지
한편, 보안업체 소켓은 disgrasya라는 이름의 악성 패키지를 발견하였습니다. 이 패키지는 자동화된 카드 테스트, 이른바 ‘카딩(carding)’ 기능을 포함하고 있으며, 워드프레스 기반 전자상거래 플랫폼인 우커머스를 사용하는 온라인 상점을 주요 표적으로 삼았습니다.카딩은 대량 유출된 신용카드 정보를 이용해 실제 상점에서 소액 결제를 시도함으로써 유효한 카드를 선별하는 방식입니다.
disgrasya 패키지는 제품 검색부터 장바구니 담기, 결제창 이동, 무작위 결제 정보 및 도난 카드 정보를 입력하는 과정을 완전히 자동화하였고, 결제 정보는 공격자의 서버로 전송되도록 설계되어 기존 보안 탐지 시스템을 우회하는 데 성공하였습니다.
삭제 전까지 무려 3만 4,860회 이상 다운로드된 기록이 있어, 그 위협의 심각성이 더욱 부각되고 있습니다.
오픈소스 생태계의 위협과 그 대응
이번 사례는 오픈소스 생태계 전반에 걸쳐 얼마나 치밀한 위협이 도사리고 있는지를 보여줍니다. 공격자들은 PyPI와 같이 신뢰받는 저장소를 악용하여 정상적인 오픈소스 패키지로 위장한 악성코드를 배포하고 있으며, 만약 개발자들이 이를 충분히 검증하지 않은 채 설치할 경우, 내부 시스템 전체가 위험에 노출될 수 있습니다.
리버싱랩스 측은 “패키지의 진위 여부를 반드시 확인하고, 의심스러운 활동을 자동 감지할 수 있는 보안 도구를 사용하는 것이 중요하다"라고 강조하였습니다.
개발자와 조직 모두가 더욱 철저한 검증 절차와 보안 체계를 갖추어야 할 시점임을 보여줍니다.
블랙쏘세지로 안전하게 링크를 보세요.
블랙쏘세지는 사용자가 스마트폰에서 발생하는 링크를 직접 열지 않고, 원격 브라우저 격리 기술을 통해 외부의 안전한 브라우저에서 대신 열어주는 서비스입니다.
즉, 사용자의 스마트폰에 악성코드가 침투할 우려 없이, 안전한 환경에서 링크 내용을 확인할 수 있게 됩니다.
