보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

PyPI의 ‘이중인증 필수’ 정책, 올바른 방향이긴 하지만

입력 : 2023-06-06 01:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
소프트웨어 공급망 공격이 유행한 이후 어쩌면 가장 많은 관심을 받았을 지도 모르는 건 각종 패키지 리포지터리들이다. 이곳을 통한 공격이 거세도 너무 거세다. 그런 상황에서 PyPI 측에서 먼저 칼을 빼들었다.

[보안뉴스 문정후 기자] 파이선 프로그래머들이 가장 많이 사용하는 공공 리포지터리는 PyPI다. 그런데 이 PyPI에서 “모든 사용자들이 2023년 말까지 이중인증 옵션을 사용하도록 하겠다”고 얼마 전 발표했다. 이렇게 했을 때 중요 프로젝트의 메인테이너 계정들을 공격자들이 침해하여 정상 프로젝트에 악성 코드를 임의로 주입하는 일이 줄어들 수 있다. 하지만 보안 전문가들은 이것만으로 PyPI를 안전하게 사용할 수 있는 건 아니라고 강조하고 있다.

[이미지 = gettyimagesbank]


PyPI의 관리자이자 메인테이너인 도널드 스터프트(Donald Stufft)는 최근 블로그를 통해 “사용자들은 이중인증 옵션을 활성화 하고 있느냐 아니냐에 따라 PyPI 일부 기능 사용에 제한이 걸릴 수 있다”고 설명했다. 또한 “일부 사용자들을 선택해 이중인증을 미리 사용해 보도록 지정할 수도 있다”고 밝혔다. 사용자들은 보안 토큰이나 다른 하드웨어 장비, 혹은 인증 전문 앱을 사용해 이중인증을 이용할 수 있다.

PyPI 내에서의 악성 코드 주입 시도
현재 사이버 공격자들은 PyPI에 많은 관심을 가지고 있는 상황이다. 이들은 이곳에서 여러 개발자들이 모여 코드를 자유롭게 나누고 있다는 것을 알고 있으며, 그 과정에 슬쩍 끼어들어 자신들만의 악성 코드를 집어넣는 데 성공하면 이 악성 코드가 개발자들 간 신뢰를 타고 빠르게 퍼져나간다는 것을 잘 이해하고 있다. npm이나 깃허브 등 비슷한 종류의 코드 리포지터리들 역시 같은 이유로 공격자들의 관심을 한 몸에 받고 있다.

공격자들은 여러 가지 방법으로 이런 리포지터리들을 노리는데, 그 중 하나는 중요 관리자나 메인테이너의 계정을 침해하는 것이다. 그렇기 때문에 이런 계정의 소유주들이 이중인증을 사용한다면 계정 침해 공격이 상당히 어려워질 수 있다. 그렇다면 메인테이너인 것처럼 코드에 접근해 악성 코드를 주입하는 행위는 꽤나 사라질 것으로 기대할 수 있다.

“널리 사용되는 PyPI 패키지들의 메인테이너들을 겨냥한 피싱 공격은 꽤나 빠르게 증가하고 있습니다. 공격자들의 목적은 한결 같습니다. 메인테이너들의 계정을 차지하는 것이죠.” 보안 업체 리버싱랩스(ReversingLabs)의 첩보 국장인 애슐리 벤지(Ashlee Benge)의 설명이다. “그렇게 해서 공격자가 프로젝트 메인테이너 한 사람의 계정에 접근했다면 어떻게 될까요? 메인테이너의 권한을 사용해 온갖 코드를 프로젝트에 삽입할 수 있겠죠. 그것도 정상적인 경로를 통해서 말이죠.”

보안 업체 크롤(Kroll)의 부회장 데이브 트루먼(Dave Truman)의 경우, “유명 패키지가 그런 식으로 감염된다면 개발자들이 별 다른 확인 없이 패키지를 다운로드 받아 사용하므로 악성 코드가 빠르게 퍼지게 된다.”고 강조한다. “현재까지 공격자들이 주입하려는 악성 기능은 주로 크리덴셜 탈취, 브라우저 세션 탈취, 추가 악성 코드 다운로드 및 설치와 같은 것들이었습니다. 이걸 패키지에 주입하고, 그 패키지를 개발자들이 가져가 소프트웨어 개발까지 해낸다면 어떻게 될까요? 멀웨어들이 끝없이 확산되는 겁니다.”

소프트웨어 공급망 보안, 아직 갈 길 멀다
벤지는 PyPI가 이중인증 제도를 올해 말까지 도입할 거라는 소식에 “올바른 방향을 선택한 것”이라고 말한다. 하지만 “그것으로 보안 장치를 끝내는 게 아니라, 그것을 시작으로 더 많은 보안 장치들을 겹겹이 구축해야 한다”고 강조한다. “메인테이너의 계정 탈취만이 공격자들의 해킹 수법이 아니거든요. 그들은 예를 들어 타이포스쿼팅 공격도 곧잘 합니다. 유명 패키지와 유사한 이름의 패키지를 만들고 악성 코드를 채워넣은 다음에 누군가 속아서 이 패키지를 가져가기를 기다리는 것이죠. 이중인증 옵션이 있든 말든 얼마든지 진행할 수 있는 공격 기법입니다.”

아무도 관리하지 프로젝트를 공격자가 몰래 차지한 후 멀쩡한 프로젝트인 관계자인 것처럼 행동할 때도 있다. “악성 요소는 하나도 없는, 보기에 아무런 문제가 없는 프로젝트이지만 관리자나 개발자 모두가 떠나서 아무도 들여다보지 않는 것들이 리포지터리에는 존재합니다. 이런 걸 공격자들이 찾아내 자신들이 관리하기 시작합니다. 대신 멀웨어가 호스팅 되어 있는 것이죠. 비슷한 사례가 이미 여럿 존재합니다.”

소프트웨어업체 리니지(Lineaje)의 CEO인 자베드 하산(Javed Hasan) 역시 “공격자들은 끊임없이 새로운 공격 기법을 연구하고 찾아낸다”며 “그렇기에 한 가지 방어법으로 플랫폼 전체를 안전하게 만들 수 없는 게 당연하다”고 말한다. “소프트웨어 공급망 전체를 아우르는 보안의 방법론이 필요합니다. 그리고 그 방법론이 타당하다면 리포지터리 전체 보안 강화를 위해 도입할 수 있어야 합니다.”

벤지는 “심지어 이중인증이라는 보안 기술 자체도 완벽하게 안전을 보장하지 못한다”고 지적한다. “예를 들어 심스와핑 공격이나 OIDC 익스플로잇, 세션하이재킹을 하면 이중인증을 꽤나 준수한 확률로 뚫어낼 수 있습니다. 실제 그런 공격을 성공시킨 사례들도 있고요. 물론 해커들이라고 해서 이중인증을 뚝딱 쉽게 공략할 수 있는 건 아닙니다만 이중인증 자체로 완벽하지는 않다는 겁니다.”

하산은 “리포지터리들이 이처럼 보안 강화를 위해 여러 방법을 모색하고 규정을 바꾸는 것도 중요하지만 리포지터리를 사용하는 사람들이 보안 실천 사항들을 간과하지 않아야 한다”고 짚는다. “리포지터리의 안전함이나 허술함과 전혀 상관 없이, 오로지 사용자들만의 실수와 해이 때문에 사고가 발생하기도 한다는 걸 기억해야 합니다. 다운로드 받은 패키지를 꼭 확인해 보고 사용한다든지, 프로젝트 이름을 두세 번 검토한다든지 하는 노력이 필요합니다.”

글 : 타라 실즈(Tara Seals), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)