파이선 리포지터리의 이중 인증 도입 과정, 난항에 부딪히나

요약 : 지난 주말 파이선 코드 리포지터리인 PyPI가 이중 인증을 필수로 적용하겠다고 발표했지만, 개발자들의 거센 반발에 부딪히고 있다고 IT 외신 블리핑컴퓨터가 보도했다. 적용 대상은 PyPI가 ‘critical’이라는 중요도를 부여한 프로젝트들이다. 대단히 중요한 프로젝트들부터 이중 인증이라는 걸 시작하겠다는 것이고 대부분 반응들이 호의적이라고 한다. 하지만 여기에 해당하는 개발자들은 여태까지 PyPI에 업로드한 코드들을 다 지우고 새로 등록해 critical로 부여 받은 중요도를 취소시키겠다고 반발하고 있다. 이중 인증이 보안 강화에 도움이 되지만 좀처럼 도입되지 않는 이유를 보여주는 사건이다.


배경 : 최근 사이버 공격자들은 소프트웨어 공급망의 취약점을 집중적으로 노리고 있다. 그러면서 소프트웨어의 구성 요소인 오픈소스가 공유되는 코드 리포지터리들에 대한 공격을 강화시키는 중이다. PyPI는 파이선 생태계에서 가장 영향력이 강한 리포지터리 중 하나이며, 최근까지 악성 패키지가 공유되는 사례가 빈번하게 발생했었다.

말말말 : “파이선 생태계의 전반적인 보안 강화를 위해 이중 인증을 필수적으로 도입하고자 합니다. 먼저는 대단히 중요한 프로젝트들부터 이중 인증을 적용하겠습니다.” -PyPI-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>