오픈소스 ML 라이브러리 ‘파이토치’, 공급망 해킹 당했다

(지디넷코리아=남혁우 기자)지난주 오픈소스 기계학습(ML) 플랫폼 파이토치가 공급망 공격에 당했다. 해당 기간 파이토치를 다운받거나 업데이트한 사용자의 피해가 우려되고 있다.

2일(이하 현지시각) 해커뉴스 등 외신에 따르면 파이토치 패키지 관리자는 지난 12월 25일부터 30일 사이에 PIP를 통해 라이브러리 야간 빌드를 설치한 리눅스 사용자는 즉시 해당 버전을 제거하고 시스템 손상을 확인할 것을 경고했다.

패키지 관리자는 지난 30일 오후 4시 40분경 파이썬 패키지 인덱스(PyPI)에서 악성 종속성 패키지를 확인했다고 밝혔다.

파이토치

파이썬 패키지 인덱스는 파이썬 개발자들이 만든 다양한 패키지를 모은 저장소다. 파이썬 패키지 인스톨러 앤 매니저(pip)를 활용해 파이썬 설치 및 업데이트를 자동화할 수 있으며 개발한 소프트웨어를 배포할 수도 있다.

문제는 pip를 통해 해당 기간 파이토치를 설치하거나 업데이트 받은 모든 리눅스 사용자에게 악성 패키지 역시 배포됐다는 점이다. 확인 후 빠른 대응을 통해 12월 30일 이후 버전에서 해당 악성 패키지가 제거되고 버전도 안정화됐다.

하지만 이미 악성 패키지가 설치된 이용자들의 추가 피해가 우려되고 있다.

파이토치 패키지 관리자에 따르면 악성패키지는 호스트 이름, 현재 사용자 이름, 현재 작업 디렉토리 이름, 환경변수 등 시스템 정보와 약 1천여 종의 파일을 수집 후 유출하도록 설계됐다.

파이토치 팀은 악성 패키지 제거 후에도 이번 공격으로 인한 피해를 막기 위해 악성패키지가 설치됐던 경로를 제거하고 더미패키지로 대체하는 등 조치에 나섰다.

남혁우 기자(firstblood@zdnet.co.kr)