LiteLLM 공급망 공격 확인…악성 PyPI 배포판서 클라우드·AI 자격증명 유출

사이버보안 기업 포스포인트의 X-랩스 연구팀이 18일 공개한 보고서에 따르면, 오픈소스 파이썬 라이브러리 ‘라이트엘엘엠(LiteLLM)’이 공급망 공격을 받아 클라우드와 인공지능(AI) 환경의 자격증명을 훔치는 도구로 악용됐다. 피해 버전은 파이썬 패키지 인덱스(PyPI)에 올라온 1.82.7, 1.82.8 두 개다.

라이트엘엘엠은 100개가 넘는 대형언어모델(LLM) 제공업체를 하나의 게이트웨이처럼 연결해 주는 도구로 널리 쓰인다. 보고서는 이번 사건이 단순한 패키지 변조를 넘어, 여러 AI 서비스 접근권한이 한 번에 탈취될 수 있다는 점에서 파급력이 크다고 짚었다.

공격 경로와 배포 오염

이번 공격은 ‘팀피시피(TeamPCP)’로 추적되는 위협 행위자가 벌인 것으로 분석됐다. 핵심은 라이트엘엘엠의 소스코드 저장소를 직접 뚫은 것이 아니라, 배포 과정에 쓰이던 오픈소스 취약점 스캐너 ‘트리비(Trivy)’를 먼저 오염시켰다는 점이다. 트리비는 라이트엘엘엠의 지속적 통합·배포(CI/CD) 워크플로에 포함돼 있었다.

포스포인트에 따르면 공격자는 앞서 트리비 유지관리자인 것처럼 신원을 속여 커밋을 밀어 넣고, 자동 릴리스 파이프라인을 작동시켜 백도어가 심어진 바이너리를 깃허브 릴리스, 도커 허브, 아마존 ECR에 퍼뜨렸다. 이후 라이트엘엘엠의 CI/CD 작업이 오염된 트리비 빌드를 가져오면서, 악성 바이너리가 러너 메모리를 훑어보고 ‘PYPI_PUBLISH’ 토큰을 빼냈다. 공격자는 이 토큰으로 라이트엘엘엠 악성 버전을 PyPI에 직접 게시했다.

악성 버전의 동작 방식

두 악성 버전의 동작 방식은 달랐다. 1.82.7 버전은 proxy_server.py 안에 베이스64로 인코딩한 페이로드를 숨겨, 라이트엘엘엠 프록시가 시작될 때 실행되도록 설계됐다. 반면 1.82.8 버전은 더 은밀했다. site-packages에 litelllm_init.pth 파일을 떨어뜨려 파이썬 인터프리터가 시작될 때마다 악성 코드가 자동 실행되게 만들었다. 사용자가 라이트엘엘엠을 실제로 import하지 않아도, 오염된 버전을 ‘pip install’만 하면 감염이 활성화될 수 있었다는 뜻이다.

악성 코드가 실행되면 환경변수와 설정 파일을 뒤져 각종 클라우드·AI 서비스 키를 수집했다. 표적에는 오픈AI, 앤트로픽, 마이크로소프트($MSFT) 애저 API 키가 포함됐고, 아마존 웹 서비스(AWS), 구글 클라우드, 애저 SDK 자격증명도 노렸다. 사용자 홈 디렉터리에 있는 쿠버네티스 설정 파일(kubeconfig)과 AWS 자격증명 파일도 탈취 대상이었다.

수집한 정보는 PBKDF2로 파생한 32바이트 AES-256-CBC 세션 키로 암호화된 뒤, tpcp.tar.gz 파일로 묶여 외부로 전송됐다. 유출 경로로 사용된 models.litellm.cloud는 실제 라이트엘엘엠 도메인을 흉내 낸 공격자 통제 도메인으로 파악됐다.

포스포인트는 이 악성코드가 지속성을 확보하기 위해 ‘Sysmon.py’라는 폴링 방식 백도어도 설치했다고 설명했다. 해당 스크립트는 처음 실행 후 300초간 대기한 뒤, 50분마다 checkmarx.zone에 접속해 새로운 명령이 있는지 확인한다. 응답이 있으면 바이너리를 /tmp/pglog로 내려받아 백그라운드 프로세스로 실행한다.

전문가 경고와 업계 해석

프라샨트 쿠마르 포스포인트 X-랩스 선임 연구원은 보고서에서 “이번 캠페인이 AI·머신러닝 팀에 특히 위험한 이유는 표적의 성격에 있다”며 “라이트엘엘엠은 주요 AI 제공업체를 잇는 통합 게이트웨이이기 때문에, 한 번의 침해만으로 오픈AI와 앤트로픽, 애저 자격증명에 동시에 접근할 수 있었다”고 밝혔다. 이어 “라이브러리 하나를 잃는 것이 곧 여러 연결된 AI 제공업체의 접근통제를 한꺼번에 잃는 결과로 이어질 수 있다”고 경고했다.

이번 침해는 데이터독($DDOG) 시큐리티 랩스의 조사와도 맞물린다. 데이터독은 지난 3월 같은 팀피시피 캠페인이 텔닉스의 파이썬 소프트웨어 개발 키트(SDK)를 노린 또 다른 악성 PyPI 배포와 연관됐다고 분석한 바 있다.

보안업계는 이번 사건을 ‘AI 미들웨어’를 새 핵심 인프라로 봐야 한다는 신호로 해석한다. 시큐어 코드 워리어의 마티아스 마두 최고기술책임자(CTO)는 최근 기고문에서, 개발·보안 인프라의 높은 권한이 실제 공격에 무기화된 첫 사례라는 점을 강조했다. 기업 입장에서는 라이트엘엘엠 같은 AI 연결 계층을 단순한 개발 편의 도구가 아니라, 별도 통제와 검증이 필요한 ‘핵심 인프라’로 다뤄야 한다는 의미다.

이번 공급망 공격은 오픈소스 생태계 전반의 취약점도 다시 드러냈다. 소스코드 저장소가 안전하더라도, 빌드 도구와 배포 파이프라인이 오염되면 최종 패키지는 얼마든지 악성화될 수 있다. 특히 여러 AI 서비스의 인증정보를 한곳에서 다루는 라이트엘엘엠 같은 구조에서는 피해 범위가 단일 라이브러리를 넘어 클라우드 운영 전반으로 번질 수 있다는 점에서 경계가 필요하다.