"어떤 코드를 써야하죠" 사이버공격, 초보 개발자 노린다

스택오버플로, 개발자 답변으로 위장해 악성코드 설치 유도 정황 확인

(지디넷코리아=남혁우 기자)인공지능(AI) 열풍으로 크게 늘어난 초보 개발자들을 겨냥한 사이버공격이 확인돼 주의가 요구된다.

해커뉴스 등 외신에 따르면 소프트웨어(SW)공급망 보안 기업 소나타입은 파이썬 패키지용 공개 저장소인 파이썬 패키지 인덱스(pypi)에서 악성코드가 포함된 패키지를 발견했다고 보안 보고서를 통해 밝혔다.

이번 보고서에서 주목한 것은 사이버 범죄자들이 악성 코드가 포함된 패키지를 악용하는 방법이다. 이들은 주요 침투 경로로 코드 배포가 용이한 스택오버플로 등 개발 전문 커뮤니티를 이용한 것으로 확인됐다.

(이미지=pixabay)

최근 오픈AI의 등장 이후 영향력이 줄었지만 개발 중 막히는 내용에 대한 질문을 게시하거나 답변할 수 있는 스택오버플로는 수 년간 가장 인기있는 개발 커뮤니티로 자리잡아왔다.

사이버범죄자들은 전문 개발자로 위장한 후 스택오버플로에 올라오는 개발관련 질문에 악성 코드가 포함된 패키지를 해결방안으로 제시하며 이를 사용하도록 유도한 것으로 확인됐다.

또한 이들은 상대가 의도를 쉽게 알아차리지 못하도록 그들이 사용을 유도하는 패키지의 경우 인기 패키지 코드를 복사해 기능은 그대로 유지한 채 악성코드를 추가하고 명칭만 일부 수정하는 식으로 처리한 것으로 나타났다.

이와 함께 소나타입은 공격에 쓰인 신종 악성코드 ‘파이트알레(pytoileur)를 발견했다고 밝혔다. 파이트알레는 가상자산 및 정보 탈취에 특화된 악성코드로 웹 브라우저에 저장된 사용자 데이터를 기반으로 바이넨스나 코인베이스 등 암호화폐 거래사이트에 저장된 가상자산을 탈취하는 것으로 확인됐다.

소나타입의 액스샤르마 보안 연구원은 “스택오버플로에서 이미 악성코드를 제거하기 위해 조치를 취했지만 이미 악성코드가 설치된 경우 상당한 피해가 발생할 수 있는 만큼 검토가 필요하다”며 “특히 스택오버플로는 악의가 섞인 조언에 피해를 당할 수 있는 초보개발자가 많은 만큼 이를 방지하기 위한 대안 마련이 시급하다”고 지적했다.

남혁우 기자(firstblood@zdnet.co.kr)