파이썬 라이브러리 보안 경고!

발표자는 light-llm 패키지가 트랜지티브 의존성으로 설치될 때, 해당 패키지의 설치 스크립트가 악성 코드를 실행한다고 설명함. 이 악성 코드는 .pth 파일을 이용해 파이썬 인터프리터가 시작될 때마다 실행되며, SSH 키, AWS 자격 증명, 쿠버네티스 설정, 데이터베이스 비밀번호 등 시스템의 모든 민감 정보를 탈취함. 특히, Base64 인코딩을 사용하여 탈취된 데이터를 서버로 전송하는 방식이 사용됨.

이 취약점은 오픈소스 공급망 공격(Open Source Supply Chain Attack)의 대표적인 사례로, 수백만 번 다운로드된 패키지를 통해 광범위한 피해를 야기할 수 있음. 공격자는 봇(Bot)을 이용한 대규모 이슈 스팸으로 취약점 보고를 은폐하려 했으며, 이는 개발자 커뮤니티의 신뢰를 훼손하는 행위임. Delv와 같은 회사가 AI 기반 컴플라이언스 보고서를 제공하지만, 실제로는 이러한 공격에 취약하다는 점이 지적됨.

개발자는 light-llm 패키지 사용 여부를 즉시 확인하고, 사용 중이라면 모든 민감 정보(SSH 키, API 키, 비밀번호 등)를 즉시 로테이션해야 함. 또한, 의존성 관리 도구를 사용하여 패키지의 출처와 무결성을 검증하고, 정적 분석(Static Analysis) 및 동적 분석(Dynamic Analysis) 도구를 활용하여 잠재적 위협을 탐지하는 것이 중요함. M1 칩 환경에서도 취약점이 재현되었으므로, 모든 아키텍처에서 주의가 필요함.

영상에서는 Delv라는 회사가 AI 기반 컴플라이언스 솔루션을 제공하지만, 실제로는 고객을 오도하고 있다는 의혹이 제기됨. 이 회사가 제공하는 'SOC 2 Type 1' 인증이 실제 보안 수준을 반영하지 못할 수 있으며, AI 환각(Hallucination)과 같은 문제로 인해 잘못된 보안 보고서를 생성할 가능성이 있음. 이는 AI 기반 보안 솔루션의 신뢰성에 대한 근본적인 질문을 던짐.