Arch Linux AUR, 또 악성코드 공격… 이번엔 더 정교해졌다

이번 AUR 악성코드 공격은 이전보다 코드 난독화(Code Obfuscation) 기법을 사용하여 악성 행위를 숨기는 데 더 능숙해졌다고 언급됩니다. 특히 Bun 명령어 주변의 동작을 교묘하게 위장하는 방식이 사용되었다는 보고가 있습니다. 이러한 정교함은 자동화된 탐지 시스템이나 일반 사용자가 PKGBUILD 파일을 검토할 때 악성 코드를 식별하기 어렵게 만듭니다. Gemma E2B AI 모델과 같은 도구를 사용한 탐지 시도가 있었으나, 지속적인 공격으로 인해 AUR의 보안 신뢰도에 대한 의문이 제기되고 있습니다.

커뮤니티에서는 AUR 사용 시 PKGBUILD 파일 검토가 필수적이라는 점을 재차 강조합니다. 하지만 많은 사용자가 이를 실천하기 어렵다는 현실적인 지적이 나옵니다. darleaf는 'curl | bash'와 다를 바 없다고 비판하며, moverest는 사용자의 검토 부담을 넘어서 AUR 자체의 악성코드 유포 방지 조치가 필요하다고 주장합니다. WilhelmVonWeiner는 사용자가 텍스트를 읽지 않는다는 점을 지적하며, 사용자에게만 책임을 전가하는 방식은 지속 가능하지 않다고 비판합니다.

이번 사태를 계기로 Nixpkgs와 FreeBSD ports tree와 같은 중앙화되고 검토 프로세스가 강화된 시스템과의 비교가 이루어집니다. pta2002는 Nixpkgs의 패키지 업데이트 시 검토 메커니즘이 악성코드 삽입을 어렵게 만든다고 설명합니다. valdemar는 FreeBSD ports tree의 커밋 비트(Commit Bit) 기반 관리 방식을 예로 들며, Gentoo의 GURU 저장소도 유사한 접근 방식을 취한다고 언급합니다. 이러한 시스템들은 패키징 코드 자체의 보안을 강화하는 데 중점을 둡니다.

일부에서는 이번 사건이 롤링 릴리스(Rolling Release) 모델 자체의 문제라기보다는 AUR의 구조적 취약점에 기인한다고 분석합니다. reezer는 AUR이 본질적으로 사용자가 임의의 코드를 실행하는 것과 같다고 지적하며, Arch 공식 저장소와는 별개임을 강조합니다. hoistbypetard는 Arch의 공식 저장소 확장성 부족으로 인해 사용자들이 AUR에 더 의존하게 되고, 고아 패키지(Orphaned Packages) 처리 방식과 결합되어 보안 위험을 증폭시킨다고 분석합니다. 또한, COPR이나 PPA와 달리 AUR은 단일 패키지 저장소에 대한 신뢰가 아닌, 광범위한 접근을 허용하는 도구들이 많다는 점을 지적합니다.

thesnarky1은 이번 공격이 스팸과 유사한 경제성을 가지며, 적은 비용으로 큰 이득을 얻을 수 있다고 분석합니다. 이는 TeamPCP 캠페인 사례처럼 소수의 탈취된 자격 증명이 광범위한 생태계에 영향을 미칠 수 있음을 시사합니다. 이에 대한 해결책으로 업데이트 메커니즘에 시간 지연(Time Delay)을 도입하는 방안이 제안됩니다. nemin은 이 공격이 실제 악의적 행위자들의 공격 전에 Arch를 행동하게 만들려는 의도적인 시도일 가능성도 제기합니다.