Python 패키지 저장소 PyPI, 악성 패키지로 몸살: 개인 정보 탈취 및 원격 제어 주의!
최근 파이썬(Python) 패키지 저장소인 PyPI에서 악성 패키지가 발견되어 사용자들의 주의가 요구됩니다. 보안 전문가들은 발견된 악성 패키지가 Gmail을 악용하여 민감한 정보를 탈취하고 공격자와 통신하는 데 사용되었다고 밝혔습니다. 이 글에서는 이번 사건의 자세한 내용과 함께 사용자가 주의해야 할 점, 그리고 안전한 개발 환경 구축을 위한 팁을 제공합니다.
5만 5천 번 이상 다운로드된 악성 패키지
보안 연구원 Socket은 PyPI에서 7개의 악성 패키지를 발견하여 플랫폼에서 제거되도록 조치했습니다. 하지만 이미 5만 5천 번 이상 다운로드되었으며, 일부는 4년 이상 플랫폼에 존재했습니다. 이 패키지들은 합법적인 Coffin 패키지를 모방한 이름(Coffin-Codes-Pro, Coffin-Codes 등)을 사용하거나 cfc-bsb라는 이름을 사용했습니다. 공격자들은 이러한 패키지를 통해 사용자 시스템에 침투하여 정보를 빼돌리고 원격 제어를 시도했습니다.
Gmail과 WebSocket을 이용한 은밀한 공격
악성 패키지가 설치되면, 미리 설정된 Gmail 계정 정보를 이용하여 Gmail 서버에 접속하고, C2 서버와 통신합니다. WebSocket을 통해 터널을 생성하여 Gmail의 이메일 서버를 통신 채널로 활용하기 때문에, 대부분의 방화벽 및 보안 시스템을 우회할 수 있습니다. 이를 통해 공격자는 명령을 전송하고, 파일을 탈취하고, 코드를 실행하며, 심지어 시스템을 원격으로 제어할 수 있습니다.
암호화폐 탈취 시도 정황
공격자들이 주로 암호화폐 탈취에 관심을 가지고 있었던 것으로 보입니다. 악성 코드가 통신하는 이메일 주소 중 하나에 "blockchain"과 "bitcoin"이라는 단어가 포함되어 있었습니다. Coffin-Codes-Pro는 미리 설정된 Gmail 계정(sphacoffin@gmail[.]com)과 비밀번호를 사용하여 Gmail의 SMTP 서버에 연결하고, "blockchain[.]bitcoins2020@gmail[.]com"이라는 다른 이메일 주소로 연결이 성공했음을 알리는 메시지를 보냅니다.
사용자 주의사항 및 보안 강화 팁
만약 위에서 언급된 패키지를 사용하고 있다면 즉시 제거하고, 관련된 키와 자격 증명을 모두 변경해야 합니다. 또한, 비정상적인 아웃바운드 연결(특히 SMTP 트래픽)을 주시하고, 오래된 패키지라고 해서 무조건 안전하다고 생각해서는 안 됩니다. 패키지를 다운로드하기 전에 다운로드 횟수, 게시자 이력, GitHub 저장소 링크 등을 확인하여 진위 여부를 확인해야 합니다. 정기적인 의존성 감사(Dependency Audits)를 통해 예상치 못한 악성 패키지를 조기에 발견하는 것도 중요합니다.
개인 키에 대한 접근 권한을 엄격하게 제한하고, 개발 시 격리된 환경에서 타사 스크립트를 테스트하여 잠재적으로 유해한 코드를 격리해야 합니다. 강력한 비밀번호 관리 도구를 사용하는 것도 중요합니다. Keeper와 같은 보안 플랫폼은 개인, 가족, 기업이 비밀번호, 중요 파일 및 기타 개인 데이터를 안전하게 저장하고 관리할 수 있도록 설계되었습니다. 제로 지식 암호화, 2단계 인증, 다크 웹 모니터링, 안전한 파일 저장, 침해 경고와 같은 기능을 제공하여 사이버 위협으로부터 보호합니다.
맺음말
PyPI에서 발견된 악성 패키지 사건은 오픈소스 생태계의 보안 위협을 다시 한번 상기시켜 줍니다. 개발자와 사용자는 보안에 대한 경각심을 가지고, 안전한 개발 환경 구축을 위해 꾸준히 노력해야 합니다. 위에 제시된 팁들을 실천하여 소중한 정보를 안전하게 지키시기 바랍니다.