해외 온라인 매체 테크타겟이 파이썬 코드 라이브러리의 대규모 데이터 침해 위험성 발견 소식을 보도했다.

SANS 연구소(SANS Institute)의 사이버 보안 연구원 이 칭 톡(Yee Ching Tok)이 AWS 프라이빗 키 탈취 방안을 찾는 코드가 포함된 ‘ctx 파이썬’ 라이브러리 발견 사실을 발표했다.

톡 연구원은 SANS 인터넷 스톰 센터(SANS Internet Storm Center) 블로그를 통해 이번에 발견한 악성 코드는 ctx 파이썬 개발자의 pypi.org 계정 탈취를 실행하는 공급망 공격이라고 설명했다.

공격은 사용자가 파이썬 라이브러리가 5월 21일 자로 갑자기 업데이트된 것을 발견했을 때부터 시작되었다.

이에, 사이버 보안 연구원 집단은 문제를 인지하고 코드 검증과 함께 ctx 파이썬 라이브러리의 변경 사항 조사에 나섰다. 톡 연구원은 AWS 시크릿 키의 호스트 기기를 검색하는 코드 스니펫을 발견했다.

기업 민감 정보를 포함한 AWS 데이터베이스로 항상 관리자에게 접근하는 개발자는 이번 공격으로 치명적인 피해를 볼 수 있다. 개발자가 변경된 코드에 직접 접근하지 않더라도 시크릿 키를 노출할 위험성이 있기 때문이다.

톡 연구원은 조사 과정을 통해 만료된 도메인이라는 예상하지 못한 소스를 발견했다. 톡 연구원은 2014년부터 2022년 5월 사이에 ctx 파이썬으로 개발 작업을 한 개발자가 깃허브 계정 등록 시 사용한 도메인 통제 권한을 잃었을 수도 있다는 점을 확인했다.

도메인 만료 시 해커 세력이 해당 도메인을 가로채고는 이메일 계정을 확립해, 개발자의 깃허브 패스워드를 초기화할 수 있다.

ctx 파이썬 라이브러리에 숨겨진 악성 코드는 제거할 수 있다. 따라서 문제의 라이브러리를 사용하지 않도록 개발자가 직접 코드를 확인할 것을 권고한다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]