요약 : 보안 외신 핵리드에 의하면 악성 파이선 패키지가 발견됐다고 한다. 이름은 aiocpa이며, 암호화폐 지갑을 침해하는 기능을 가지고 있다고 보안 업체 리버싱랩스(ReversingLabs)가 알렸다. 흥미로운 건 이 악성 패키지가 PyPI나 깃허브 등과 같은 유명 리포지터리에서 발견된 게 아니라는 것이다. aiocpa를 퍼트리는 자들은 자신들만의 암호화폐 클라이언트 도구를 직접 개발한 후 사용자들을 점진적으로 늘려가면서 신뢰를 쌓았다. 그러다가 사용자의 수(즉 다운로드 수)가 어느 정도 수준에 이르렀을 때 업데이트를 통해 패키지 내에 악성 코드를 주입했다. 늘 하던 업데이트였기 때문에 악성 공격이 시도되어도 발견이 어려웠다고 전해진다.


배경 : 현재까지 이 aiocpa 패키지의 다운로드 횟수는 12100번으로 집계되고 있다. 업데이트를 통해 멀쩡하던 앱에 악성 기능을 추가하는 건, 구글 플레이 스토어에 멀웨어를 침투시킬 때 가장 많이 활용된다. 공격자들은 정상적인 앱을 개발해 플레이에 업로드 하고, 사용자들이 충분히 다운로드 받을 때까지 기다렸다가 자동 업데이트 푸시를 통해 악성 기능을 첨부시킨다. 이런 전략에 대응하는 법을 구글도 아직 정립시키지 못하고 있다.

말말말 : “오픈소스 소프트웨어를 늘리는 방식이 계속해서 발전하고 있고, 교묘해지고 있습니다. 그렇기 때문에 대응 방법도 같이 변해야 합니다.” -핵리드-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>