요약
3월 넷째 주, 개발자 보안에 직접적인 영향을 미치는 3건의 보안 사건이 동시에 발생했습니다.
1. PyPI 악성 패키지 — WAV 스테가노그래피
- PyPI 패키지 버전 4.87.1과 4.87.2에서 악성 코드 발견
- 크레덴셜 탈취 코드가 .WAV 오디오 파일 안에 은닉
- 일반적인 정적 분석 도구로는 탐지 불가능한 스테가노그래피 기법
- 바이너리 포맷 내부에 페이로드를 숨기는 신종 공급망 공격
개발자 조치: 의존성 감사를 강화하고, 새 버전 설치 시 변경 로그를 반드시 확인하세요.
2. F5 BIG-IP — DoS → RCE 재분류
- CVE-2025-53521 (F5 BIG-IP APM)
- 기존 서비스 거부(DoS)에서 원격 코드 실행(RCE)으로 재분류
- CVSS v4 점수: 8.7 → 9.3으로 상향
- 3월에 새로운 익스플로잇 증거가 발견되어 CISA가 재분류 결정
3. Stryker / Infinite Campus 데이터 유출
- Stryker (의료기기 대기업): 이란 연계 핵티비스트 그룹의 사이버 공격 공개
- Infinite Campus (K-12 학생 정보 시스템): 갈취 시도 후 데이터 유출 경고
교훈
PyPI 사건이 특히 주목할 만합니다. 공격자가 바이너리 포맷 내부에 페이로드를 숨기는 기법을 사용하면서, 기존의 소스코드 기반 정적 분석이 무력화되었습니다. 공급망 보안의 새로운 차원이 열린 셈입니다.
댓글 0