Security

파이선 리포지터리 PyPI에 대한 신뢰 악용한 피싱 기승

문가용 기자

Published: 13:52, 30 Jul 2025 (Updated: 12:54, 05 Oct 2025)

💡

Editor's Pick
- PyPI 이용한 피싱 공격이 활발
- PyPI 측에서 직접 경고
- 크리덴셜 탈취가 궁극적 목표

파이선 개발자들을 위한 공공 리포지터리인 PyPI에서 보안 경고을 띄웠다. 가짜 PyPI 사이트로 개발자들을 유도하는 피싱 공격이 활발히 진행 중이라는 내용이다. PyPI 관리자들이 사용자들에게 보낸 경고 이메일에 따르면 공격은 피싱 메일로부터 시작한다고 하며, 여기에 속으면 로그인 크리덴셜을 빼앗긴다고 한다.

공격 시나리오는 다음과 같다.

1) ‘PyPI 이메일 인증 확인’이라는 제목의 피싱 이메일이 발송된다.

2) 이메일을 보낸 사람의 주소는 ‘noreply\@pypj\.org’이다.

3) noreply는 많은 기업에서 소비자들에게 메일을 보낼 때 많이 사용하는 메일 주소이기도 하다.

4) pypj는 pypl과 유사하게 생겼다.

5) ‘\’라는 기호가 교묘하게 삽입되어 있다.

최초 이메일의 경우 ‘링크를 클릭하라’는 내용과 링크가 포함돼 있다. 제목을 본 피해자가 인증 확인을 위해 메일을 열었다면, 별 다른 의심 없이 링크를 클릭할 확률이 낮지 않다. 클릭하면 PyPI와 흡사하게 생긴 사이트로 연결된다. 이 사이트는 크리덴셜 수집을 위해 만들어졌다.

흥미로운 건 사용자가 가짜 사이트에 속아 크리덴셜을 입력할 때, 이 크리덴셜 정보는 두 군데로 전송된다는 것이다. 하나는 공격자가 마련한 서버이고, 다른 하나는 실제 PyPI 사이트다. 이 때문에 공격자는 피해자가 PyPI에 정상 로그인 되는 것처럼 보이게 하면서도, 다른 주머니로는 크리덴셜 정보를 챙겨갈 수 있다. 피해자 입장에서는 평소처럼 PyPI에 입력했을 뿐이지, 그 어떤 이상 징후를 느끼지 못한다.

PyPI 측은 “PyPI 사이트 자체의 취약점을 익스플로잇 하 공격이 아니라, 사용자와 PyPI 간 신뢰를 공략하는 기법”이라고 설명하며 “공격을 방어하기 위해 여러 가지 방법을 모색하고 있다”고 알렸다. “방법을 찾을 때까지 사용자 개개인이 브라우저 창 상에서 URL을 꼼꼼하게 확인해야 하고, 수상한 이메일을 받았다면 무시하시고, 링크 클릭을 절대 하지 마시기 바랍니다.”

혹 이미 이상한 메일을 열어 링크를 클릭한 기억이 있다면 어떻게 해야 할까? 기존 PyPI 계정 비밀번호를 얼른 바꿔야 한다고 PyPI 측은 권한다. “로그인 해서 계정 보안 기록(Security History)를 확인해야 합니다. 그래서 비정상적인 활동 이력이 있었는지 살피는 게 중요합니다.” 보안 기록은 다음과 같은 절차를 통해 확인이 가능하다.

1) PyPI 홈페이지 접속 후 로그인

2) 우측 상단에 로그인 한 ID 확인 후 클릭

3) 풀다운 메뉴가 뜨는데, 계정 설정(Account Settings) 클릭

4) 화면 스크롤 다운

5) Account Details -> Account emails -> Change Password -> Two factor authentication -> API Tokens를 차례로 지나 아래 쪽 Security History 확인

캠페인 배후 세력에 대해서는 아직 밝혀진 바가 없다. 하지만 요 몇 년 npm과 PyPI, 깃허브 등 공공 리포지터리를 노리는 공격이 매일처럼 일어나고 있기 때문에 새로울 것은 없다. 바로 얼마 전에도 npm 패키지 7개가 손상된 상태로 퍼져 스캐빈저(Scavenger)라는 악성코드가 확산되기도 했었다.