이원영 기자프로그래밍 언어인 파이썬(Python)을 개발에 이용하기 위한 모듈 중 인기를 끄는 ctx가 모듈을 취득한 개발자 정보를 침해하는 악의적 변경을 가한 것으로 밝혀졌다. 또 오픈소스 프로그래밍 언어인 PHP 250만 회 이상 다운로드된 모듈인 phpass에도 악성 버전이 포함되어 있다고 한다.
ctx는 환경 변수(environment variables)를 조작할 수 있게 해주는 파이썬 모듈로 주당 2만 회 이상 다운로드할 정도로 인기가 있는 패키지다. 2014년 이후 개발자에 의한 갱신이 사라지고 2022년 5월 15일 오랜만에 새로운 버전이 등장했지만 악의가 있는 코드가 더해지고 있다는 게 밝혀졌다.
미국 소프트웨어 보안 기업인 소나타이프 보안 연구팀에 따르면 ctx 모든 버전에 악성 코드가 존재하는 것으로 나타났다. PyPI(Python Package Index)에서 삭제된 악성 버전 뿐 아니라 2014년 이후 변경되지 않은 버전 0.1.2도 마찬가지로 악성 버전으로 대체됐다고 보고했다.
또 PHP 패키지인 phpass에 악의적 코드가 포함되어 AWS 키를 침해할 가능성이 있다고 경고했다. phpass에 대한 침해도 악성 버전이 업데이트되면서 비슷한 공격으로 간주된다. phpass는 2005년 출시 이후 250만 회 이상 다운로드됐으며 악의적 버전으로 업데이트된 이후 다운로드 수는 불분명하지만 인기 패키지로 인해 일정 수 사용자가 침해하고 있다고 볼 수 있다.
악의적인 ctx 모듈이 설치되면 개발 환경 모든 변수를 수집하고 업로드한다. 또 phpass 내 변경된 파일은 인스톨된 환경 내 AWS_ACCESS_KEY와 AWS_SECRET_KEY 값을 구체적으로 검색해 같은 포인트에 업로드되는 구조가 됐다고 한다.
이런 공격은 같은 인물에 의한 것이며 신원도 밝혀지고 있다고 한다. 이번 같은 유형 공격을 연구자는 리포재킹(repo jacking)이라고 말하며 오랫동안 업데이트되지 않은 리포지토리가 갑자기 변경되면 악의성이 포함될 가능성에 대한 주의를 촉구하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
