2019.12.13

"PyPI에 악성코드가 올라온다" 악성 파이썬 라이브러리를 주의하라

Serdar Yegulalp | InfoWorld
최근 서드파티 패키지용 파이썬의 공식 리포지토리인 PyPI(Python Package Index)에서 악성코드가 들어 있는 2개의 파이썬 라이브러리가 제거되었다. 
 
ⓒ Getty Images Bank 

이것은 많은 현대 소프트웨어 개발 커뮤니티가 직면한 문제 중 가장 최근에 불거진 것으로, 오픈소스 소프트웨어에 의존하는 모든 개발자들에게 중요한 질문을 던진다. 즉, 어떻게 하면 리포지토리가 공격을 위한 벡터가 되지 않고 재사용을 위해 공통 리포지토리에 사람들이 자신의 코드를 기여할 수 있도록 할 수 있는가?

대체로, 파이썬과 같은 오픈소스 프로젝트로 운영되는 언어에 대한 공식적인 서드파티 라이브러리 리포지토리는 안전하다. 하지만 악성 버전의 라이브러리는 점검 받지 않으면 빨리 확산될 수 있다. 그리고 대부분의 이런 언어 리포지토리가 자원 봉사자들에 의해 감독된다는 사실은 그렇게 많은 눈들이 주시만 하고 있어서 기여가 항상 필요한 조사를 받는 것은 아니라는 것을 의미한다.

이번 주 PyPI에서 삭제된 2개의 악성 패키지는 “타이포 스쿼팅(typo squatting)”이라고 불리는 속임수, 즉 경고를 주는데 일반적으로 사용되는 패키지와 충분히 유사한 이름들을 선택하는 속임수를 사용했다. 또한, 누군가 의도된 이름을 잘못 입력하면 우연히 설치될 수도 있다. 

파이썬 데이트타임 객체를 조작하고 스트링에 대해 비슷한 매치를 수행하는데 사용된 데이트유틸(dateutil)과 젤리피쉬(jellyfish) 패키지인 척 하려고 하기 때문에 악성 패키지는 파이썬-데이트유틸과 젤리피쉬라는 이름을 갖게 되었다.
 
설치되면, 파이썬-데이트유틸과 젤리피쉬는 개발자에게서 개인 데이터를 훔치려고 시도하는 것을 제외하고는 원래 제품과 똑같이 작동했다. 데이트유틸 팀의 개발자인 폴 간슬은 "이번 공격의 가장 유력한 이유는 그 프로젝트를 나중에 공격하기 위해 피해자가 어떤 프로젝트를 하고 있는지 알아내려는 것이었다"고 밝혔다.

파이썬 라이브러리는 일반적으로 2가지 진영으로 나뉜다. 즉, 파이썬 런타임을 갖추고 배송되는 표준 라이브러리를 보충하는 모듈과 PyPi에서 호스팅 되는 타사 패키지다. 표준 라이브러리의 모듈들은 심도 있게 검사를 받고 엄격하게 심사 받는 반면에 PyPI는 설계상 훨씬 더 개방적이어서 파이썬 사용자들이 재사용을 위해 패키지를 자유롭게 기여할 수 있다. 

이전의 PyPI에서 악성 프로젝트들이 발견되었다. 한 사례에서, 악성 패키지는 파이썬 웹 개발의 주요소인 장고(Django) 프레임워크를 타이포 스쿼팅 했다. 하지만, 문제는 더욱 긴박해지고 있는 듯하다. 파이썬 공식 개발 토론 포럼의 핵심 개발자인 크리스찬 하이메스는 “파이썬 보안팀(PSRT)의 일원으로서 매주 타이포 스쿼팅이나 악성 패키지에 관한 보고를 받고 있다”고 밝혔다. 

파이썬 소프트웨어 파운데이션은 PyPI를 남용에서 보호하기 위한 계획을 가지고 있지만, 완전히 출시하려면 시간이 걸릴 것이다. 올해 초 파이썬 팀은 패키지를 업로드하는 PyPI 사용자를 위한 옵션으로 2단계 인증을 출시했다. 그것은 PyPI에 업로드하는 개발자들에게 보호 단계를 제공함으로써, 그들의 계정을 가로채고 그들의 이름으로 악성코드를 업로드하는 것을 더욱 어렵게 만든다. 그러나 그것은 타이포 스쿼팅이나 다른 일반적인 남용을 다루지는 않는다. 

다른 이니셔티브에는 자동화로 이러한 문제를 상쇄할 수 있는 방법을 모색하는 것이 포함된다. 패키지를 처리하는 파이썬 소프트웨어 파운데이션 내의 작업 그룹은 PyPI 패키지의 암호 서명, (노동집약적인 수동 스크리닝이 아닌) 악성 업로드의 자동 검출 등 보다 고급 PyPI 보안 기능을 만들 수 있는 허가를 페이스북 리서치로부터 받았다.

서드파티 또한 약간의 보호를 제공한다. 독립 보안업체인 리버싱 랩(Reversing Labs)은 의심스러운 파일 형식에 대해 리포지토리 전체를 스캔한 후 PyPI 기반 공격을 발견했다. 그러나 이 업체는 이런 스캔이 내부 검사를 대체하지 않는다는 것을 인정한다. 

이 업체는 "악성코드 호스팅 가능성을 크게 줄이기 위해 이런 리포지토리는 모두 지속적인 처리와 더 나은 검토 과정에서 모두 이익을 얻을 것”이라고 전했다. 

파이썬의 자체 개발자들은 알고 있듯이 최고의 솔루션은 내부에서 나와야 한다. editor@itworld.co.kr 


2019.12.13

"PyPI에 악성코드가 올라온다" 악성 파이썬 라이브러리를 주의하라

Serdar Yegulalp | InfoWorld
최근 서드파티 패키지용 파이썬의 공식 리포지토리인 PyPI(Python Package Index)에서 악성코드가 들어 있는 2개의 파이썬 라이브러리가 제거되었다. 
 
ⓒ Getty Images Bank 

이것은 많은 현대 소프트웨어 개발 커뮤니티가 직면한 문제 중 가장 최근에 불거진 것으로, 오픈소스 소프트웨어에 의존하는 모든 개발자들에게 중요한 질문을 던진다. 즉, 어떻게 하면 리포지토리가 공격을 위한 벡터가 되지 않고 재사용을 위해 공통 리포지토리에 사람들이 자신의 코드를 기여할 수 있도록 할 수 있는가?

대체로, 파이썬과 같은 오픈소스 프로젝트로 운영되는 언어에 대한 공식적인 서드파티 라이브러리 리포지토리는 안전하다. 하지만 악성 버전의 라이브러리는 점검 받지 않으면 빨리 확산될 수 있다. 그리고 대부분의 이런 언어 리포지토리가 자원 봉사자들에 의해 감독된다는 사실은 그렇게 많은 눈들이 주시만 하고 있어서 기여가 항상 필요한 조사를 받는 것은 아니라는 것을 의미한다.

이번 주 PyPI에서 삭제된 2개의 악성 패키지는 “타이포 스쿼팅(typo squatting)”이라고 불리는 속임수, 즉 경고를 주는데 일반적으로 사용되는 패키지와 충분히 유사한 이름들을 선택하는 속임수를 사용했다. 또한, 누군가 의도된 이름을 잘못 입력하면 우연히 설치될 수도 있다. 

파이썬 데이트타임 객체를 조작하고 스트링에 대해 비슷한 매치를 수행하는데 사용된 데이트유틸(dateutil)과 젤리피쉬(jellyfish) 패키지인 척 하려고 하기 때문에 악성 패키지는 파이썬-데이트유틸과 젤리피쉬라는 이름을 갖게 되었다.
 
설치되면, 파이썬-데이트유틸과 젤리피쉬는 개발자에게서 개인 데이터를 훔치려고 시도하는 것을 제외하고는 원래 제품과 똑같이 작동했다. 데이트유틸 팀의 개발자인 폴 간슬은 "이번 공격의 가장 유력한 이유는 그 프로젝트를 나중에 공격하기 위해 피해자가 어떤 프로젝트를 하고 있는지 알아내려는 것이었다"고 밝혔다.

파이썬 라이브러리는 일반적으로 2가지 진영으로 나뉜다. 즉, 파이썬 런타임을 갖추고 배송되는 표준 라이브러리를 보충하는 모듈과 PyPi에서 호스팅 되는 타사 패키지다. 표준 라이브러리의 모듈들은 심도 있게 검사를 받고 엄격하게 심사 받는 반면에 PyPI는 설계상 훨씬 더 개방적이어서 파이썬 사용자들이 재사용을 위해 패키지를 자유롭게 기여할 수 있다. 

이전의 PyPI에서 악성 프로젝트들이 발견되었다. 한 사례에서, 악성 패키지는 파이썬 웹 개발의 주요소인 장고(Django) 프레임워크를 타이포 스쿼팅 했다. 하지만, 문제는 더욱 긴박해지고 있는 듯하다. 파이썬 공식 개발 토론 포럼의 핵심 개발자인 크리스찬 하이메스는 “파이썬 보안팀(PSRT)의 일원으로서 매주 타이포 스쿼팅이나 악성 패키지에 관한 보고를 받고 있다”고 밝혔다. 

파이썬 소프트웨어 파운데이션은 PyPI를 남용에서 보호하기 위한 계획을 가지고 있지만, 완전히 출시하려면 시간이 걸릴 것이다. 올해 초 파이썬 팀은 패키지를 업로드하는 PyPI 사용자를 위한 옵션으로 2단계 인증을 출시했다. 그것은 PyPI에 업로드하는 개발자들에게 보호 단계를 제공함으로써, 그들의 계정을 가로채고 그들의 이름으로 악성코드를 업로드하는 것을 더욱 어렵게 만든다. 그러나 그것은 타이포 스쿼팅이나 다른 일반적인 남용을 다루지는 않는다. 

다른 이니셔티브에는 자동화로 이러한 문제를 상쇄할 수 있는 방법을 모색하는 것이 포함된다. 패키지를 처리하는 파이썬 소프트웨어 파운데이션 내의 작업 그룹은 PyPI 패키지의 암호 서명, (노동집약적인 수동 스크리닝이 아닌) 악성 업로드의 자동 검출 등 보다 고급 PyPI 보안 기능을 만들 수 있는 허가를 페이스북 리서치로부터 받았다.

서드파티 또한 약간의 보호를 제공한다. 독립 보안업체인 리버싱 랩(Reversing Labs)은 의심스러운 파일 형식에 대해 리포지토리 전체를 스캔한 후 PyPI 기반 공격을 발견했다. 그러나 이 업체는 이런 스캔이 내부 검사를 대체하지 않는다는 것을 인정한다. 

이 업체는 "악성코드 호스팅 가능성을 크게 줄이기 위해 이런 리포지토리는 모두 지속적인 처리와 더 나은 검토 과정에서 모두 이익을 얻을 것”이라고 전했다. 

파이썬의 자체 개발자들은 알고 있듯이 최고의 솔루션은 내부에서 나와야 한다. editor@itworld.co.kr 


X