사이버보안 업계가 파이썬 오픈소스 생태계를 겨냥한 새로운 공급망 공격 정황을 포착했다. 최근 파이썬 패키지 저장소(PyPI)에서 민감한 정보를 탈취하고 도난된 신용카드 정보를 자동으로 테스트하는 악성 패키지들이 발견되면서 경각심이 커지고 있다.
보안업체 리버싱랩스(ReversingLabs)와 소켓(Socket)이 각각 발표한 조사 결과에 따르면, 문제가 된 악성 패키지는 총 세 가지다. bitcoinlibdbfix, bitcoinlib-dev, 그리고 disgrasya라는 이름으로 유포된 이들 패키지는 개발자들이 신뢰하고 사용하는 PyPI에 등록돼 다수 다운로드되며 피해 확산이 우려되고 있다.
비트코인 라이브러리를 위장한 악성코드
리버싱랩스는 bitcoinlibdbfix와 bitcoinlib-dev가 암호화폐 지갑 기능을 제공하는 정상적인 파이썬 라이브러리인 비트코인립(bitcoinlib)의 문제를 해결하는 것처럼 위장했다고 밝혔다. 해당 패키지들은 정상 명령어인 clw cli를 악성 코드로 덮어쓰는 방식으로 사용자 시스템 내 민감한 데이터베이스 파일을 외부로 유출하려 시도했다.
공격자는 이 패키지들이 실제 문제를 해결해주는 것처럼 보이도록 깃허브(GitHub)의 이슈 토론에도 참여해 사용자를 속이려 했다. 그러나 분석 결과, 이들의 목적은 전적으로 악성 코드 유포에 있었던 것으로 드러났다.
해당 패키지들은 삭제되기 전까지 bitcoinlibdbfix가 1,101회, bitcoinlib-dev가 735회 다운로드됐다.
신용카드 자동 테스트 기능 숨긴 ‘disgrasya’ 패키지
다른 한편으로, 보안업체 소켓은 disgrasya라는 이름의 악성 패키지를 발견했다. 이 패키지는 자동화된 카드 테스트, 이른바 ‘카딩(carding)’ 기능을 포함하고 있었으며, 워드프레스 기반 전자상거래 플랫폼인 우커머스(WooCommerce)를 사용하는 온라인 상점을 표적으로 삼았다.
카딩이란 대량으로 유출된 신용카드 정보를 이용해 실제 온라인 상점에서 소액 결제를 시도하며 카드의 유효성을 검증하는 방식이다. 범죄자들은 이를 통해 아직 사용 가능한 카드를 선별해 기프트카드나 선불카드를 구매하고, 이를 재판매해 현금화한다.
disgrasya 패키지는 이러한 자동화된 카딩 절차를 파이썬 스크립트에 통합해, 제품 검색부터 장바구니 담기, 결제창 이동, 그리고 무작위 결제 정보와 도난 카드 정보를 입력하는 과정을 모조리 자동화했다. 결제 정보는 공격자의 서버(railgunmisaka[.]com)로 전송되도록 설계돼 있었으며, 이는 기존의 보안 탐지 시스템을 우회하는 데 효과적인 방식이었다.
특히 이 악성 패키지는 삭제 전까지 무려 3만 4,860회 이상 다운로드된 것으로 집계됐다.
소켓은 “패키지 이름인 ‘disgrasya’는 필리핀 속어로 ‘재앙’ 혹은 ‘사고’를 의미하는데, 실제로도 전자상거래 플랫폼을 정교하게 흉내 내면서 도난 카드 유효성을 테스트하고 정보를 유출하는 악성 도구였다”고 분석했다.
오픈소스 생태계 위협하는 공급망 공격
이번 사례는 오픈소스 생태계를 노리는 공급망 공격이 점점 정교해지고 있음을 보여준다. 사이버 범죄자들은 PyPI 같은 공신력 있는 저장소를 악용해 정상적인 오픈소스 패키지로 위장한 악성 코드를 배포하고 있으며, 개발자들이 이를 검증 없이 설치할 경우 내부 시스템 전체가 위험에 노출될 수 있다.
리버싱랩스 측은 “이러한 공격을 방지하려면 패키지의 진위 여부를 반드시 확인하고, 의심스러운 활동을 자동 감지할 수 있는 보안 도구를 사용하는 것이 중요하다”고 강조했다.
이번에 발견된 악성 패키지 사례는 단순한 해프닝이 아닌, 소프트웨어 공급망 전반에 걸쳐 얼마나 치밀한 위협이 도사리고 있는지를 잘 보여준다. 개발자와 조직 모두가 더욱 철저한 검증 절차와 보안 체계를 갖춰야 할 시점이다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수:클릭
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[人사이트]데이비드 셰퍼드 일루미오 아태 부사장, “사이버 침해 100% 막을 수 없다면…'세분화'로 피해 최소화”](https://img.etnews.com/news/article/2025/04/06/news-p.v1.20250406.870169a9f46a400183e7664783f9a077_P3.jpg)