Home > 전체기사

개발자들의 필수 방문지인 공공 리포지터리가 위험하다

  |  입력 : 2022-05-24 20:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
소프트웨어 개발 행위는 이제 공공 리포지터리 없이 상상할 수 없는 것이 되었다. 공격자들도 이를 아주 잘 이해하고 있으며, 노골적으로 리포지터리에서 활동하기 시작했다. 특히 인기 많은 언어인 파이선의 생태계에서는 이러한 시도가 더 빈번하게 발견되고 있다.

[보안뉴스 문가용 기자] 오픈소스 코드가 저장되고 공유되는 공공 리포지터리는 소프트웨어 공급망을 구성하는 요소 중 가장 중요한 부분을 차지하고 있다고 해도 과언이 아니다. 그렇기 때문에 공격자들의 위협에 자주 노출되는 편이며, 한 번 공격이 성공하면 그 여파가 상당히 큰 규모로 퍼져간다.

[이미지 = utoimage]


이번 달만 해도 윈도, 맥OS, 리눅스 시스템에 코발트 스트라이크(Cobalt Strike)라는 모의 해킹 도구가 포함된 악성 패키지가 유포된 적이 있었다. 공격자들은 악성 패키지를 파이선 패키지 인덱스(PyPI)라고 하는 리포지터리에 업로드 해 두었고, 이 리포지터리를 이용하던 개발자들이 알아서 악성 패키지를 퍼트려주었다. 악성 패키지의 이름은 pymafka였는데, 매우 비슷한 이름의 PyKafka라는 패키지가 PyPI에서 꽤나 높은 인기를 구가하고 있었다. 개발자들이 비슷한 철자에 속은 것이었다.

보안 업체 소나타입(Sonatype)이 이 악성 패키지를 발견해 세상에 알렸는데, 얼마 지나지 않아 비슷한 패키지가 또 발견됐다. 이번에는 또 다른 유명 리포지터리인 깃허브(GitHub)에서였다. 여기에서 karaspace라는 악성 패키지가 유포되고 있었던 것이었다. karaspace는 PyPI에 존재하는 정상 패키지의 이름이기도 했다. 같은 이름의 패키지가 다른 생태계에 업로드 되며 개발자들에게 혼란을 준 것이다. 이 악성 패키지는 정보를 훔치고 장비를 추적하는 기능을 가지고 있었다.

소나타입은 지난 주 금요일 자사 블로그를 통해 악성 패키지를 통해 다운로드 되는 실행파일들이 유명 호스팅 서비스인 벌터(Vultr)에 호스팅 되어 있었다고 설명했다. 그리고 이 악성 패키지가 제대로 설치된 이후에는 중국 알리바바에 할당된 IP 주소를 통해 교신한다고도 밝혔다. 바이러스토탈에 등록된 백신 엔진 중 이 악성 패키지를 제대로 탐지한 경우는 1/3도 되지 않았다고 한다.

맹목적 신뢰
최근 들어 PyPI를 통한 악성 패키지 유포 시도가 빈번해지고 있다. pymafka 사태는 수많은 사건 사고들 중 하나일 뿐이다. 지난 11월에만 해도 보안 업체 제이프로그(JFrog)가 11개의 악성 파이선 패키지를 PyPI에서 발견했었다. 그보다 전인 7월에도 신용카드 데이터를 훔치는 악성 패키지가 PyPI에서 유포됐었고, 이를 통해 3만여 개의 시스템이 감염되기도 했었다.

당시 제이프로그는 “개발자들이 리포지터리들을 맹목적으로 신뢰하여 패키지를 다운로드 받고 설치한다”고 경고했었다. “리포지터리에 새로운 패키지를 업로드하거나, 기존 패키지를 편집하는 게 그리 어려운 일이 아닙니다. 어차피 리포지터리는 공유와 나눔을 목적으로 한 공간이니까요. 개발자들이 또 은근히 지식 공유 같은 것을 선호하기도 합니다. 공격자들은 이러한 특성을 활용해 자신들의 공격 도구를 퍼트리는 것이죠.”

공공 리포지터리에 대한 공격자들의 관심이 높아지기 시작하자 PyPI는 보안 강화 프로젝트를 시작했다. 이중 인증 옵션을 추가하고, 소프트웨어 업로드를 위한 API 토큰을 추가로 발행했다. 소프트웨어 디펜던시를 추적하게 해 주는 도구도 마련해 개발자들이 올바른 버전을 다운로드 받아 설치하도록 도와주고 있기도 하다. PyPI 프로젝트들의 취약점들을 찾아내 DB화하고 있기도 하다. 이런 움직임은 점차 다른 리포지터리들로도 옮겨가는 추세다.

이번 달 초 NIST는 사이버 보안 가이드라인에 새로운 항목들을 추가했다. 소프트웨어 공급망의 취약한 부분을 강화시키는 것과 관련된 내용이었다. 소프트웨어 취약점 등록 및 관리 기관인 마이터(MITRE) 역시 시스템오브트러스트(System of Trust)라는 보안 프레임워크의 초안을 내놓았다. 이 프레임워크가 완성되면 기업과 기관들은 소프트웨어 공급망 보안을 보다 수월하게 점검할 수 있을 전망이다.

3줄 요약
1. 최근 공공 리포지터리를 겨냥한 사이버 공격이 빈번해지고 있음.
2. PyPI라는 파이선 리포지터리의 경우, 이번 달에만 악성 패키지 유포 시도가 2번 발견됨.
3. PyPI를 비롯해 여러 공공 리포지터리에서 보안 강화의 움직임이 시작됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)