멤버십
뉴스
리서치
마켓정보
라운지
커뮤니티
매체소개
고객센터
0
Andrej Karpathy가 X를 통해 AI 라이브러리 litellm이 PyPI(파이썬 패키지 인덱스) 공급망 공격을 당했다고 밝혔다. 사용자가 단순히 `pip install litellm` 명령을 실행하는 것만으로 SSH 키, AWS·GCP·Azure 등 주요 클라우드 자격증명, Kubernetes 설정, git 자격증명, 환경변수, 암호화폐 지갑, SSL 개인키, CI/CD 키, 데이터베이스 비밀번호까지 탈취될 수 있는 악성 코드가 심어졌다는 설명이다.
litellm은 매달 약 9,700만회 다운로드되는 인기 패키지로, 공격 영향은 해당 라이브러리를 직접 사용하는 개발자뿐 아니라 dspy 등 litellm에 의존하는 모든 프로젝트로 확산될 수 있다는 지적이 나온다. 악성 코드가 포함된 버전은 배포 후 약 1시간도 채 되지 않아 발견·차단됐는데, Callum McMahon의 머신에서 공격 코드 결함으로 메모리가 소진돼 시스템이 다운되면서 이상 징후가 포착된 것으로 전해졌다.
Karpathy는 이번 사례를 두고 “공급망 공격은 현대 소프트웨어에서 가장 위협적인 문제”라며, 외부 라이브러리 설치 한 번으로도 깊은 의존성 트리 어딘가에 변조된 패키지가 끼어들 수 있다고 경고했다. 그는 이 같은 리스크 때문에 가능하면 의존성을 줄이고, 단순 기능은 외부 패키지 대신 LLM을 활용해 직접 구현하는 방향으로 전환하는 데 무게를 두고 있다고 밝혔다.
이번 사건은 개발·보안·운영(DevSecOps) 전반에서 오픈소스 의존성과 패키지 공급망 안전성에 대한 점검 필요성이 커지고 있음을 재차 보여주는 사례로 평가된다.
![[칼럼] 서클의 추락이 던진 세 가지 질문 — 테더, 그리고 한국](https://f1.tokenpost.kr/2026/03/2d73s3bkzf.jpg)
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf.jpg)
![[토큰포스트] 기사 퀴즈 560회차](https://f1.tokenpost.kr/2026/03/ljgt25co7x.jpg)
![[토큰포스트] 기사 퀴즈 559회차](https://f1.tokenpost.kr/2026/03/7y0jnt6uv6.jpg)
![[토큰포스트] 기사 퀴즈 558회차](https://f1.tokenpost.kr/2026/03/2fp3p1ut12.jpg)
![[토큰포스트] 기사 퀴즈 557회차](https://f1.tokenpost.kr/2026/03/ihv817v6rc.jpg)
