하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

보안 업체 이름 악용한 공급망 공격, 파이선 개발자들을 노렸다
등록일 :
2022.12.20
아무런 관련 없는 보안 업체의 이름이 악성 공급망 공격에 활용됐다. PyPI라는 리포지터리를 통해 악성 패키지 유포 시도가 있었던 것이다. 다행히 본격적인 공격이 일어나지는 않았지만, 리포지터리와 개발자들이 위험하다는 것에는 변함이 없다.

[보안뉴스 문가용 기자] 아직 정체가 밝혀지지 않은 공격자 혹은 공격 단체가 악성 파이선 패키지를 PyPI라는 리포지터리를 통해 유포했다는 사실이 드러났다. 공격자들은 유명 보안 업체인 센티넬원(SentinelOne)을 사칭하여 소프트웨어 개발 키트(SDK)로 보이는 악성 패키지를 유포했다고 한다. 보안 업체 리버싱랩스(ReversingLabs)가 이와 같은 사실을 공개하며 이번 캠페인에 센티넬스닉(SentinelSneak)이라는 이름을 붙였다.

[이미지 = utoimage]


악성 패키지는 설치가 되자마자는 그 어떤 악성 행위도 하지 않는다고 한다. 대기 상태로 다른 프로그램이 악성 함수를 호출할 때까지 잠잠히 있는다. 호출 후에는 명령에 따라 여러 가지 악성 행위를 할 것으로 추정되는데, 아직 그러한 단계로까지는 공격이 이뤄지지 않은 것으로 보인다. 공격 시도가 일차적으로 실행된 것까지만 발견된 상태라는 것이다.

또, 리버싱랩스의 수석 소프트웨어 아키텍트인 토미슬라브 페리신(Tomislav Pericin)은 “악성 패키지를 꼼꼼하게 살피지 않으면 정상적인 SDK로 인식하기에 충분하다”고 말한다. 그만큼 악성 요소가 교묘하게 숨어 있다는 뜻이다. “리포지터리에 악성 패키지를 올리는 방식으로 공급망 공격을 실시하는 공격자들의 수법이 점점 교묘해지고 있습니다. 유명 패키지들을 서슴없이 사칭하면서도 잘 발각되지 않게끔 설계를 잘 합니다. 다른 리포지터리에서도 이런 식의 발전들이 눈에 띕니다.”

리버싱랩스는 “소프트웨어 공급망을 겨냥한 공격이 갈수록 거세지는 중”이라고 경고한다. “개발자들을 꼬드겨 악성 패키지나 오픈소스 라이브러리를 다운로드 받도록 하는 기술들이 정교해지고 있고, 이런 활동이 이뤄지는 플랫폼들이 많아지고 있으며, 공격 회수가 빠르게 늘어나는 중입니다. 파이선의 인기를 생각했을 때 PyPI에서 이런 공격이 비교적 빈번하게 일어나는 건 이해할 만한 일입니다. 하지만 파이선 생태계에서만 공격이 발생하는 것도 아니고, 센티넬원 패키지만 사칭되는 것도 아닙니다. 지금 리포지터리에 악성 요소를 주입하는 건 해커들 사이에서 커다란 유행입니다.”

센티넬원의 패키지를 사칭한 가짜 패키지는 일반적인 회사 업무 환경에서 꽤나 많은 경보를 울린다. 파일 실행, 새로운 프로세스 생성, 외부 서버와의 통신 등 경보가 울릴 수밖에 없는 특징들이 제법 존재하기 때문이다. “그리고 센티넬원과 관련이 있는 요소는 단 하나도 없습니다. 오로지 개발자들을 속이기 위한 패키지 이름에 센티넬원이라는 단어만 있을 뿐입니다.”

센티넬원과 전혀 관련이 없으면서도 이름을 도용한 건, 공격자들이 센티넬원이라는 브랜드가 가진 시장 내 신뢰도와 명성을 악용하려 한 것이라고 볼 수 있다. “패키지를 꼼꼼하게 살피지 않은 개발자라면 센티넬원의 패키지를 다운로드 받음으로써 뭔가 보안 기능을 추가할 수 있을 거라고 여기게 됩니다. 센티넬원의 고객이 되지 않은 채 말이죠. 보안이 중요해지고 있는 지금 분위기에서 조금이라도 저렴하게 보안을 강화하려는 일부 개발자들의 마음을 그대로 간파한 것이라고 볼 수 있습니다.”

센티넬원 측에서도 문제의 패키지가 가짜임을 발표했다. “최근 저희 이름을 도용한 악성 파이선 패키지가 발견되었다는 소식이 있습니다. 해당 패키지는 가짜이며 센티넬원과는 아무런 관련이 없습니다. 사이버 공격자들이 패키지에 이름을 붙이는 방식에까지 손을 댈 수 없어 현재 패키지 이름과 관련하여 저희가 할 수 있는 일은 없습니다만, 저희 회사와는 아무런 상관이 없음을 계속해서 알릴 것입니다. 저희 고객들은 여전히 안전하며, 아직까지 실질적인 침해 사고가 발생하지 않았습니다. PyPI 측에서도 패키지를 삭제했고요. 더 이상 저희 이름의 가짜 패키지가 문제로 남아 있지 않을 것입니다.”

현재 해커들이 가장 많이 노리는 부류 중 하나는 개발자다. 개발자들이 오픈소스나 공공 리포지터리의 라이브러리를 가져다가 애플리케이션을 구축하고 있다는 것을 알고, 가짜 라이브러리나 패키지를 심어두는데, 개발자들이 이를 가져다가 애플리케이션들을 개발하면 멀웨어가 기하급수적으로 늘어날 수 있다. 그 애플리케이션들을 고객들이 구매해 사용하면 감염된 컴퓨터 역시 기하급수적으로 늘어난다. 다행히 아직까지 이런 사례가 실제 발견되지는 않고 있다.

페리신은 “그래서 어떤 형태로든 소프트웨어를 개발하는 조직이라면 개발자들이 소프트웨어를 만들 때 보안 수칙을 따르도록 교육하고 규정을 만들어야 한다”고 강조한다. “이제 편안하게 오픈소스를 가져다 쓰면서 개발에만 집중해도 되는 때가 아닙니다. 소프트웨어 디펜던시에 보안 개념을 두껍게 덧입혀야 합니다. 그러려면 먼저 개발의 최전선에 있는 개발자들부터 디펜던시들을 꼼꼼하게 점검해야 합니다.”

센티넬스닉 캠페인의 경우 공격자는 악성 패키지를 다섯 개 이상 업로드했다. 전부 센티넬원이라는 이름을 교묘하게 꼬아 활용했다. 하지만 한 개 외 다른 패키지들의 경우 주요 악성 요소들이 존재하지 않았다. 공격자가 실험을 진행하는 것으로 보인다. 리버싱랩스는 이러한 사실을 12월 15일 PyPI 측에 알렸고, 바로 다음 날에는 센티넬원에도 사실을 전달했다. 

3줄 요약
1. 센티넬원이라는 유명 보안 업체의 이름을 악용한 파이선 패키지 발견됨.
2. PyPI라는 파이선 생태계 최대 리포지터리를 통해 유포되고 있었음.
3. 개발자들은 요즘 사이버 공격자들에게 가장 주요한 표적.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.
목록

Top