PyPI 패키지 증가, 악성 코드 탐지 어려움 직면

최근 몇 달 동안 PyPI에 게시되는 새로운 패키지 버전 수가 급증하고 있으며, 특히 AI 관련 패키지 증가가 두드러진다. 2025년 이후 30% 증가했으며, 이러한 추세는 PyPI 생태계의 안정성 및 보안 유지에 어려움을 야기할 수 있다. PyPI 유지보수(Maintenance)에 대한 부담이 증가하고, 저장 공간(Storage Requirement) 및 주간 다운로드(Weekly Downloads) 증가로 인해 PSF(Python Software Foundation)의 운영 비용 증가가 예상된다.

게시된 패키지 중 일부는 eval, exec, subprocess 함수를 불필요하게 사용하여 악성 코드(Malicious Code)를 숨기는 경우가 많다. 특히 eval과 exec는 동적으로 코드를 실행하는 데 사용되므로, 보안 취약점(Security Vulnerability)을 유발할 수 있다. 민감한 데이터(Sensitive Data)가 전달되거나 코드 난독화가 의심되는 경우, 악성 코드로 간주될 수 있다. AST(Abstract Syntax Tree) 조작과 같은 대안을 통해 보안을 강화할 수 있다.

일부 패키지는 하루에 수백 번 이상 게시되는 등 과도한 게시 빈도(Publishing Frequency)를 보인다. 이러한 행위는 PyPI 생태계의 안정성을 저해하고, 공급망 공격(Supply Chain Attack)의 위험을 높일 수 있다. 자동화된 악성 코드 탐지 도구는 이러한 빈번한 게시로 인해 오탐(False Positive)이 증가하여, 수동 개입의 필요성을 높인다. 이는 PyPI 생태계의 유지 관리(Maintenance)에 추가적인 부담을 준다.

hexora는 PyPI에 새로 게시된 패키지를 실시간으로 모니터링하고 분석하여 악성 Python 코드(Malicious Python Code)를 탐지하는 라이브러리이다. 하지만 eval, exec, subprocess 남용으로 인해 오탐(False Positive)이 발생하여, 수동 개입을 통한 필터링(Filtering)이 필요하다. hexora와 같은 도구는 PyPI 생태계의 보안 강화(Security Enhancement)에 기여하지만, 지속적인 개선(Continuous Improvement)이 필요하다.