Python 패키지 litellm의 공급망 공격 사례와 오픈소스 생태계 보안을 위한 실질적 대책

2. 사건 개요 및 주요 사실 정리

2026년 4월, Python 개발자 커뮤니티에서 주목할 만한 보안 사건이 발생했다. 세계 최대 Python 패키지 저장소인 PyPI(PyTHON Package Index)에 등록된 litellm v1.82.8 패키지에서 악성 공급망 공격 코드가 확인된 것이다.

조사 결과, 해당 패키지의 wheel 파일 내에 포함된 litellm_init.pth(34,628바이트) 파일이 원래 의도된 모듈 import 없이 파이썬 인터프리터가 시작될 때마다 자동으로 실행되었다. 사용자는 패키지를 설치하는 것만으로 악성 스크립트에 노출되어, 별도의 실행 동작 없이도 피해가 발생한다는 점이 특히 위험하다.

3. 공급망 공격 기법 분석: 악성 .pth 파일의 작동 방식

.pth 파일은 Python의 site-packages 디렉토리에 위치해 인터프리터가 구동될 때 자동 실행된다. 일반적으로 개발 환경 설정이나 추가 모듈 경로 등의 등록에 쓰이지만, 공격자는 이 기능을 악용한다. 해당 파일에 악성 코드가 들어가면 사용자가 직접 실행하지 않아도 시스템에서 즉시 동작한다.

이번 litellm 사례와 유사하게, 여러 언어 생태계(npm, Node.js 등)에서도 신뢰받는 패키지 저장소의 권위를 남용한 유포 방식이 발견되어 왔다. 공격자는 합법 패키지를 위장하거나 기존 프로젝트에 은밀히 악성 파일을 삽입해 사용자 방어를 회피한다.

4. 오픈소스 생태계의 구조적 취약점

오픈소스 소프트웨어 생태계는 누구나 패키지를 등록해 공유할 수 있는 개방성을 갖고 있지만, 이 특성상 보안 취약점을 내포한다. PyPI, npm, RubyGems 등 대부분의 공개 패키지 저장소는 게시 전 심사 절차가 없거나 매우 제한적이다. 이로 인해 악성 코드가 포함된 패키지도 빠르게 유통될 수 있다.

특히 개발자들은 의존성 패키지의 출처나 무결성을 충분히 확인하지 않는 경우가 많고, 빌드 도구나 자동화된 파이프라인(CI/CD) 역시 공격자들의 목표가 된다. 공급망이 복잡할수록 위험 지역도 확대되는 것이다.

5. 최신 공급망 보안 솔루션: SBOM, SLSA, SigStore

이러한 위협에 대응하기 위해 다양한 국제 표준과 보안 도구들이 개발되고 있다.

SBOM(Software Bill of Materials)은 소프트웨어를 구성하는 모든 요소와 라이선스를 목록으로 정리해 투명하게 관리하게 해준다. 이를 통해 취약점이 발견되면 영향 범위를 빠르게 파악하고 신속히 대응할 수 있다.

SLSA(소프트웨어 아티팩트 공급망 보안 등급)는 빌드 파이프라인의 무결성과 출처 확인을 위한 4단계 프레임워크로, 패키지 제작부터 배포까지 각 단계에서 검증을 강화한다.

SigStore는 오픈소스 소프트웨어를 위한 무료 디지털 서명 서비스로, 복잡한 키 관리 없이도 소프트웨어 출처와 무결성을 자동으로 확인할 수 있게 지원한다.

6. 커뮤니티와 정책 차원의 대응 방안

개별 개발자와 조직은 사용하는 패키지의 의존성 트리를 수시로 점검하고, 신뢰할 수 있는 소스만 이용해야 한다. CI/CD 파이프라인에도 자동 보안 점검 도구를 통합해 의존성 취약점을 조기에 탐지하는 것이 중요하다.

NIST의 안전한 소프트웨어 개발 프레임워크(SSDF)는 조직의 실무 정책 수립에 활용할 수 있다. PyPI 등 저장소도 다단계 인증, 패키지 무결성 검사 기능을 점진적으로 강화 중이지만, 무엇보다 커뮤니티의 적극적인 신고와 참여가 중요한 방패다.

7. 결론 및 향후 전망

litellm 사건은 단일 패키지 문제가 아니라 오픈소스 소프트웨어 공급망의 구조적 취약함을 다시 한번 상기시켰다. 점점 정교해지는 공급망 공격에 대응하려면, 개발자·조직·커뮤니티의 새로운 협력이 요구된다.

SBOM, SLSA, SigStore로 대표되는 국제 표준 도구의 도입 확대와 정책적 체계 정비가 더는 선택이 아닌 필수로 대두되고 있다. 앞으로도 공격 기법은 더 발전할 것이므로, 안전한 오픈소스 생태계를 위한 지속적인 투자와 협력이 반드시 필요하다.