| 요약 | - PyPI은 파이선 프로그래머들이 가장 많이 사용하는 공공 리포지터리 - PyPI에서 “모든 사용자들이 2023년 말까지 이중인증 옵션을 사용하도록 하겠다” 발표 > 중요 프로젝트의 메인테이너 계정들을 침해하여 정상 프로젝트에 악성 코드를 임의로 주입하는 일이 줄어들 수 있음 > 보안 전문가들은 이것만으로 PyPI를 안전하게 사용할 수 있는 건 아니라고 강조 |
| 내용 | - PyPI의 관리자이자 메인테이너인 도널드 스터프트(Donald Stufft) > 사용자들의 이중인증 옵션 활성화 여부에 따라 PyPI 일부 기능 사용에 제한이 걸릴 수 있음 > 일부 사용자들을 선택해 이중인증을 미리 사용해 보도록 지정할 수도 있음 > 보안 토큰이나 다른 하드웨어 장비, 혹은 인증 전문 앱을 사용해 이중인증을 이용할 수 있음 - 현재 공격자들은 PyPI에 많은 관심을 보이는 중 > PyPI에서 여러 개발자들이 모여 코드를 공유하기에, 중간에 끼어들어 악성 코드를 집어넣는 데 성공하면 빠른 확산이 가능하기 때문임 > 중요 관리자나 메인테이너의 계정을 침해하여 공격을 진행 > 중요 계정의 소유주들이 이중인증을 사용한다면 계정 침해 공격이 상당히 어려워질 수 있음 - 메인테이너들의 계정을 차지하기 위해 메인테이너들을 겨냥한 피싱 공격은 빠르게 증가 중 > 주입하려는 악성 기능은 주로 크리덴셜 탈취, 브라우저 세션 탈취, 추가 악성 코드 다운로드 및 설치 - 전문가들은 이중인증 제도 도입 외 더 많은 보안 장치들을 겹겹이 구축 필요성 강조 > 타이포스쿼팅 공격 처럼 이중인증 옵션 여부와 관계없이 공격할 수 있는 다양한 방법이 존재 > 관리되지 않는 프로젝트를 탈취한 후 정상 프로젝트로 위장 가능하며, 사례 또한 존재 |
| 기타 | - 공격자들은 끊임없이 새로운 공격 기법을 연구하고 찾아냄 > 한 가지 방어법으로 플랫폼 전체를 안전하게 만들 수 없는 게 당연 > 소프트웨어 공급망 전체를 아우르는 보안의 방법론이 필요 - 이중인증이라는 보안 기술 자체도 완벽하게 안전을 보장하지 못함 > 심스와핑 공격, OIDC 익스플로잇, 세션하이재킹을 통해 이중인증을 꽤나 준수한 확률로 뚫어낼 수 있으며, 사례 또한 존재 - 리포지터리의 보안 강화를 위한 노력뿐만 아니라 리포지터리를 사용하는 사람들이 보안 실천 사항을 준수해야 함 > 리포지터리의 관리적 보안 수준과 상관 없이 사용자들의 실수와 해이 때문에 사고가 발생하기도 함 |
보안뉴스
PyPI의 ‘이중인증 필수’ 정책, 올바른 방향이긴 하지만
파이선 프로그래머들이 가장 많이 사용하는 공공 리포지터리는 PyPI다. 그런데 이 PyPI에서 “모든 사용자들이 2023년 말까지 이중인증 옵션을 사용하도록 하겠다”고 얼마 전 발표했다. 이렇게 했
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| 제로데이 개념증명용 코드인 줄 알았는데 사실은 멀웨어 외 2건 (0) | 2023.06.19 |
|---|---|
| 사상 첫 자동화 SaaS 랜섬웨어 공격을 성공시킨 오메가 일당들 (0) | 2023.06.13 |
| 과기정통부, 소프트웨어(SW) 공급망 공격 대응방안 마련한다! (0) | 2023.06.04 |
| 北 김수키 해킹조직 관련 韓美 합동 사이버보안 권고 (0) | 2023.06.03 |
| 구글이 만든 새 최상위 도메인 이름, 보안 업계 비판의 소리 점점 커져 (0) | 2023.05.26 |