매달 9500만 번 설치되는 AI 도구가 해킹당했는데, 악성코드에 버그가 있어서 들켰습니다
AI 서비스 연결 도구 LiteLLM의 PyPI 패키지가 해킹당해 비밀번호와 클라우드 접속 정보를 훔쳤습니다. 보안 도구 Trivy에서 시작된 연쇄 공격이었습니다.
AI 서비스를 하나로 연결해주는 인기 도구 LiteLLM이 해킹당했습니다. 매달 9,500만 번 설치되는 이 도구의 악성 버전이 3시간 동안 유포되면서, 설치한 사용자의 비밀번호, 클라우드 접속 정보, 심지어 암호화폐 지갑까지 해커에게 넘어갔습니다. 그런데 아이러니하게도 악성코드 자체에 버그가 있어서 컴퓨터가 멈추는 바람에 더 빨리 발각됐습니다.
보안 도구가 먼저 뚫리자 연쇄 공격이 시작됐습니다
이번 사건은 단독 해킹이 아니라 연쇄 공급망 공격의 일부였습니다. 공격 순서를 정리하면 이렇습니다.
3월 19일 — 코드 보안 검사 도구 Trivy(컨테이너와 코드의 취약점을 자동으로 찾아주는 도구)가 해킹당합니다
3월 23일 — 코드 분석 도구 KICS의 GitHub 자동화 파이프라인이 뚫립니다
3월 24일 10:52 UTC — Trivy 해킹으로 탈취한 비밀번호를 사용해 LiteLLM 관리자의 PyPI 계정(파이썬 패키지 저장소 계정)을 장악, 악성 버전 1.82.7과 1.82.8을 배포합니다
3월 24일 ~14:00 UTC — 약 3시간 만에 발각되어 악성 버전이 삭제되고, PyPI가 전체 패키지를 격리합니다
공격자는 TeamPCP로 알려진 해커 그룹이며, 일부 보안 전문가들은 악명 높은 해킹 그룹 LAPSUS$와의 연관성을 의심하고 있습니다.
악성코드가 훔친 것 — SSH 키부터 암호화폐 지갑까지
해킹된 LiteLLM을 설치하면, 컴퓨터가 켜질 때마다 자동으로 실행되는 숨겨진 파일(litellm_init.pth)이 함께 깔렸습니다. 이 파일은 3단계로 작동했습니다.
1단계: 정보 수집
컴퓨터에서 민감한 정보를 죄다 긁어 모았습니다.
• SSH 키(서버 접속 열쇠) • AWS/GCP/Azure 접속 정보(클라우드 서버 비밀번호) • 쿠버네티스 설정(서버 관리 도구 인증 정보) • .env 파일(프로그램의 비밀 설정값) • 암호화폐 지갑 파일 • Git 인증 정보 • 쉘 명령어 기록
2단계: 암호화 후 전송
수집한 정보를 AES-256 암호화로 포장한 뒤, models.litellm.cloud라는 가짜 도메인으로 전송했습니다. 이 도메인은 3월 23일에 공격자가 등록한 사칭 사이트였습니다.
3단계: 영구 잠입
쿠버네티스(서버 관리 도구) 접속 정보가 있으면, 서버 클러스터의 모든 노드에 백도어(뒷문)를 설치하고, 50분마다 해커의 명령을 받아 실행하는 서비스를 심었습니다.
악성코드의 치명적 실수 — 자기가 만든 버그에 걸렸습니다
아이러니한 점이 있습니다. 이 악성코드에는 자체 버그가 있었습니다. .pth 파일은 파이썬이 실행될 때마다 자동으로 작동하는데, 악성코드가 새로운 파이썬 프로세스를 생성하면 그 프로세스가 또 .pth 파일을 실행하고, 그게 또 새로운 프로세스를 만들어서... 무한 반복으로 컴퓨터가 멈춰버렸습니다.
이 현상을 포크 폭탄(fork bomb)이라고 합니다. 보안 분석 회사 FutureSearch의 엔지니어가 AI 코딩 도구 Cursor에서 LiteLLM을 의존성으로 사용하다가 컴퓨터가 갑자기 멈추는 것을 보고 이상함을 감지했습니다.
또 하나 주목할 점은 공격자의 증거 인멸 시도입니다. GitHub 이슈에 해킹 사실이 보고되자, 102초 동안 73개의 탈취된 개발자 계정에서 88개의 봇 댓글을 쏟아내며 정보를 묻으려 했습니다.
내가 영향을 받았는지 확인하는 방법
⚠ 확인이 필요한 분들
AI 관련 파이썬 프로젝트를 진행 중이라면, LiteLLM이 직접 또는 다른 패키지의 의존성으로 설치돼 있을 수 있습니다.
# LiteLLM이 설치돼 있는지, 버전은 몇인지 확인
pip show litellm
# 악성 파일이 있는지 확인
find $(python -c "import site; print(site.getsitepackages()[0])") -name "litellm_init.pth" 2>/dev/null
# 안전한 버전으로 업데이트
pip install litellm==1.82.6버전이 1.82.7 또는 1.82.8이라면 즉시 다음을 수행해야 합니다.
1. 패키지 삭제 후 안전 버전 재설치 — pip install litellm==1.82.6
2. 모든 비밀번호와 접속 키 교체 — AWS, GCP, Azure 키, SSH 키, Git 토큰, .env에 저장된 API 키 전부
3. systemd 백도어 확인 — /root/.config/sysmon/sysmon.py 파일이 있으면 삭제
Docker 이미지로 LiteLLM을 사용한 경우에는 영향이 없습니다. Docker 이미지는 의존성 버전이 고정돼 있어서 악성 버전이 설치되지 않았습니다.
지난주 Trivy 해킹의 후속타 — 공급망 공격이 연쇄적으로 번지고 있습니다
이번 사건은 지난주 보도한 Trivy 해킹 사건의 직접적인 후속타입니다. 보안 도구 하나가 뚫리면서 그 도구를 쓰는 다른 프로젝트까지 연쇄적으로 무너지는 공급망 도미노 현상이 현실로 나타났습니다.
구글의 보안 전문 기업 Mandiant가 사고 대응에 투입됐으며, PyPI 측은 패키지를 격리한 뒤 안전을 확인하고 20:15 UTC에 해제했습니다.
관련 콘텐츠 — Easy클코로 AI 시작하기 | 무료 학습 가이드 | AI 뉴스 더보기