- TeamPCP가 인기 오픈소스 litellm 패키지의 PyPI 버전에 백도어를 삽입, 대규모 공급망 보안이 위태로워졌습니다.
- 주요 공격 경로는 CI/CD 연동 계정 탈취로, 자격증명 탈취·Kubernetes 확산·지속적 백도어 기능 등이 동원됐습니다.
- 모든 조직과 개발자는 해당 악성 패키지 제거 및 신뢰 체인, 계정 보안 다층 점검이 시급합니다.
“공급망 보안은 선택이 아닌 필수, 자동화된 신뢰 체인도 항상 검증이 필요합니다.”
2. 사건 개요와 주요 타임라인
2026년 3월, 사이버 공격 그룹 TeamPCP가 Python 패키지 저장소(PyPI)의 인기 오픈소스 패키지 litellm에 악성 코드를 삽입해 대규모 공급망 공격을 벌였습니다. 보안 기업 Endor Labs와 JFrog는 1.82.7과 1.82.8 버전에서 악성코드를 탐지해 긴급 대응에 돌입, 패키지 신규 설치 차단과 IOC 정보를 배포했습니다.
3. 공격 방식 분석
3.1 CI/CD 신뢰 체인 악용
이번 공격의 핵심은 CI/CD 자동화 환경에서 사용되는 연동 계정 탈취에 있습니다. 실제로 Trivy(컨테이너 취약점 스캐너), KICS(코드 인프라 보안 자동화)와 연결된 내부 계정 권한이 유출되었고, 이를 통해 패키지 저장소의 신뢰 체인을 우회하여 악성 패키지가 배포되었습니다.
개발자들이 신뢰하는 자동화 보안 도구 및 파이프라인에서 오히려 공급망의 취약점이 악용된 사례입니다. CI/CD 환경과 트러스트 체인에 대한 과신이 얼마나 큰 위험이 될 수 있는지 단적으로 보여줍니다.
4. 악성코드 주요 기능 및 위험
- 자격증명 수집: 시스템상에 저장된 API 키, 데이터베이스 계정 등 인증 정보를 은밀하게 빼내어 공격자의 추가 침투를 돕습니다.
- Kubernetes 확산: 컨테이너 환경에서 공격 이동이 가능하며, 단일 호스트에서 전체 클러스터로 공격을 확장할 수 있습니다.
- 지속적 백도어: 감염 후에도 시스템에 머물면서 장기적으로 공격자가 접근권을 유지할 수 있어 지속적 위협이 됩니다.
이러한 복합적 기능은 단순한 데이터 유출을 넘어, 조직 전체를 위협하는 심각한 리스크로 이어질 수 있습니다.
5. 보안기업 및 커뮤니티의 대응
JFrog와 Endor Labs 등 주요 보안 업체는 악성 패키지 탐지 및 제거 권고, 상세 IOC 배포, 연동 계정 점검 지침 등을 신속히 안내했습니다. PyPI도 해당 악성 버전 설치를 즉각 차단하고 있으며, GitHub 등은 유사 공격 예방책 마련에 착수했습니다.
6. 공급망 보안을 위한 실질 대응 전략
- 즉각적 제거: litellm 1.82.7과 1.82.8 버전을 모든 프로젝트에서 제거하고 안전한 버전으로 교체, 의존성 파일도 꼼꼼히 점검하세요.
- CI/CD 계정 안전 강화: 연동 계정 접근 권한, 다단계 인증(MFA) 적용, 불필요한 권한은 즉시 회수하고 비밀키는 정기적으로 재발급하세요.
- 신뢰 체인 다층 검증: 보안 도구 및 패키지 배포 경로의 평판 이력, 유지관리자 정보를 종합 점검해서 다중 검증 체계를 마련하세요.
- 지속 모니터링: 개발·운영 환경에서 이상 트래픽과 파일, 시스템 변화를 실시간 감시해 조기 침해를 차단해야 합니다.
7. 결론 및 향후 전망
TeamPCP 사건은 오픈소스 공급망이 얼마나 공격에 취약한지, 한 번의 신뢰 체인 침해가 전 세계 조직에 미칠 수 있는 파급력을 여실히 보여줍니다. 앞으로 공급망 공격은 더욱 정교해질 가능성이 커, 개발자와 보안 담당자 모두 단일 도구에 의존하지 않는 다층 보안 체계를 반드시 구축해야 합니다. 또한, 오픈소스 커뮤니티–보안 업계간 정보 공유와 협력 강화도 필수입니다.
공급망 보안은 조직의 필수 기본 방어체계입니다. 이번 사례로부터 신뢰 체인, 자동화 환경, 계정 및 패키지 관리 전반에 대한 철저한 점검과 인식 개선이 필요함을 다시 한 번 강조합니다.
- 공급망 및 자동화 신뢰 체인은 언제든 악용당할 수 있음을 명심할 것
- 연동 계정의 권한·MFA·비밀키 관리는 반복적이고 체계적으로 점검할 것
- 보안이력, 커뮤니티 평판 등 다양한 신뢰 검증 프로세스를 조직적으로 구축할 것