AI, 공급망 공격 탐지 및 대응에 혁신을 가져오다

공격은 PyPI에 배포된 악성 litellm 패키지(v1.82.8)를 통해 시작되었으며, .pth 파일(Path file)을 악용하여 모든 Python 실행 시 악성 코드를 실행했다. 해당 코드는 SSH 키, 클라우드 자격 증명, .env 파일 등 민감한 정보를 탈취하여 암호화 후 외부로 전송하려 했다. 또한, 시스템d 서비스를 통해 지속적인 감염을 시도하고, 11k 프로세스 폭탄(Process Bomb)을 발생시켜 시스템 마비를 유발했다.

공격자는 AI 챗봇을 활용하여 공격을 분석하고, 피해 범위를 파악했다. AI는 악성 코드 분석(Malware Analysis), 시스템 로그 분석, 잠재적 피해 시스템 식별 등 다양한 작업을 수행했다. 특히, AI는 개발자가 보안 전문가가 아니더라도 공격에 신속하게 대응할 수 있도록 돕는 역할을 했다. 이는 AI가 보안 분야에서 새로운 가능성을 제시함을 보여준다.

악성 litellm 패키지는 .pth 파일(Path file)을 사용하여 Python 실행 시 자동으로 악성 코드를 실행하도록 설계되었다. 이 파일은 Python의 import 메커니즘을 악용하여, 패키지가 설치된 모든 환경에서 악성 코드를 실행한다. 또한, 악성 코드는 RSA 암호화(RSA Encryption)를 사용하여 탈취한 정보를 암호화하고, 외부 서버로 전송하여 데이터 유출(Data Exfiltration)을 시도했다. 마지막으로, K8s 환경 침투(K8s Lateral Movement)를 시도했으나, Mac OS 환경에서 실행되어 실패했다.

커뮤니티에서는 AI의 역할과 책임, 그리고 패키지 관리의 중요성에 대한 논의가 활발하게 이루어졌다. 특히, 패키지 업데이트 지연, 의존성 관리(Dependency Management) 강화, 그리고 출처가 불분명한 패키지 사용에 대한 경고가 있었다. 또한, AI 챗봇을 활용한 신속한 대응은 긍정적으로 평가되었지만, AI의 책임 소재(Responsibility)에 대한 논의도 필요하다는 의견이 제시되었다.

피해를 최소화하기 위해, 개발자들은 패키지 업데이트 지연(Package Update Delay), 신뢰할 수 있는 소스에서만 패키지 설치, 그리고 의존성 관리 도구(Dependency Management Tool)를 활용하여 패키지 무결성을 검증해야 한다. 또한, .pth 파일(Path file)과 같은 자동 실행 메커니즘에 대한 이해를 높이고, 시스템 보안 설정을 강화해야 한다. 마지막으로, 데이터 미저장 정책(Zero-Retention Policy)을 통해 잠재적 피해를 줄이는 것도 고려해야 한다.