25일 사이버 보안 위협 그룹 팀PCP가 인기 AI 라이브러리 라이트LLM을 공격, 악성 버전을 배포하며 사용자들의 광범위한 클라우드 및 AI 서비스 자격 증명을 탈취했다. 이번 공격은 파이썬 패키지 인덱스(PyPI)를 통해 이뤄졌으며, 기존 보안 도구 침해 캠페인의 연장선상에서 발생했다. 기업 및 개발자들은 즉각적인 시스템 점검과 계정 정보 변경이 요구된다.

▲ AI 라이브러리 라이트LLM, 악성 코드 주입으로 주요 자격 증명 노출

24일, 사이버 공격 그룹 팀PCP(TeamPCP)가 오픈소스 파이썬 라이브러리 라이트LLM(LiteLLM)에 대한 공급망 공격을 실행하여 악성 코드가 포함된 버전 1.82.7과 1.82.8을 파이썬 패키지 인덱스(PyPI)에 배포했다. 이 공격은 라이트LLM 사용자의 클라우드 자격 증명, CI/CD(지속적 통합/지속적 배포) 비밀, API 키 등 민감한 정보를 탈취하는 것을 목표로 했다.

라이트LLM은 OpenAI, Anthropic, Google Gemini 등 100개 이상의 대규모 언어 모델(LLM)에 대한 통합 인터페이스를 제공하는 오픈소스 라이브러리이자 프록시 서버로, API 관리, 오류 처리, 비용 추적 기능을 단순화하여 AI 개발 생태계에서 널리 사용된다. PyPI에서 월간 9,700만 건의 다운로드를 기록할 만큼 그 영향력이 크다. 이 공격으로 인해 약 50만 대의 기기에서 데이터 유출이 발생했을 가능성이 제기되고 있으나, 이는 아직 독립적으로 확인되지 않은 수치다.

[로이터/연합뉴스 제공]

▲ 데이터로 본 공격 배후와 침투 경로

이번 라이트LLM 침해는 팀PCP가 지난 2025년 12월부터 진행해 온 광범위한 공급망 공격 캠페인의 일환이다. 팀PCP는 앞서 아쿠아 시큐리티(Aqua Security)의 취약점 스캐너 트리비(Trivy)와 체크막스(Checkmarx)의 IaC(Infrastructure-as-Code) 분석기 KICS를 연이어 공격하며 CI/CD 시스템에서 자격 증명을 탈취했다. 라이트LLM에 대한 공격은 트리비 침해 과정에서 확보한 PyPI 자격 증명을 활용했을 가능성이 높다고 분석된다.

팀PCP는 악성 라이트LLM 버전 1.82.7과 1.82.8에 정보 탈취 악성 코드를 주입했다. 특히 버전 1.82.8에서는 .pth 파일을(litellm_init.pth) 악용하여 파이썬 인터프리터가 시작될 때 라이브러리 명시적 호출 없이도 악성 코드가 자동으로 실행되도록 설계했다. 이로써 클라우드 서비스(AWS, GCP, Azure) API 키, SSH 키, 쿠버네티스 토큰, 암호화폐 지갑 정보 등 광범위한 민감 정보가 공격자에게 노출될 위험에 처했다. 악성 패키지는 3월 24일 오전 8시 30분(UTC)경 게시되었으며, 같은 날 오전 11시 25분(UTC) PyPI에 의해 격리 조치되었다.

▲ 광범위한 파장 및 향후 전망

라이트LLM은 전체 클라우드 환경의 36%에서 사용되고 있으며, 다수의 AI 프레임워크에서 전이적 종속성으로 포함되어 있어 이번 공격의 파장은 더욱 심각하다. 이는 하나의 도구 침해에서 얻은 자격 증명이 다른 시스템의 추가 침해로 이어지는 '연쇄적 공급망 공격'의 전형적인 사례로 평가된다.

라이트LLM 개발팀은 침해된 패키지를 삭제하고 모든 계정을 재설정했으며, 맨디언트(Mandiant)와 협력하여 사고 대응에 나섰다. 또한, 공식 보안 업데이트를 발행했다. 보안 전문가들은 라이트LLM 버전 1.82.7 또는 1.82.8이 설치된 시스템은 즉시 침해된 것으로 간주하고, 모든 노출된 자격 증명을 변경하며 악성 코드 잔존 여부를 확인해야 한다고 강조한다.

팀PCP는 이번 공격 이후에도 새로운 패키지 레지스트리를 목표로 삼거나 자가 전파형 웜을 이용하는 등 공격을 확장할 것으로 예상된다. 이는 AI 개발 생태계 전반에 걸쳐 공급망 보안을 강화해야 할 필요성을 다시 한번 각인시키는 경고가 되고 있다.