CWN(CHANGE WITH NEWS) - 15년간 방치된 파이썬 코드 취약점, 오픈소스 저장소 프로젝트에 코드 실행 문제 일으켜

사이버 보안 전문 매체 블리핑컴퓨터가 장기간 방치된 파이썬의 취약점이 오픈소스 저장소 프로젝트 35만 개에 피해를 주었다고 전했다.

문제가 된 취약점은 2007년 발견된 파이썬 tarfile 패키지의 취약점인 CVE-2007-4559으로, 버그 확산 경로가 되었다. CVE-2007-4559는 발견 이후 단 한 차례도 패치 작업이 진행되지 않았다.

CVE-2007-4559는 2007년 최초 발견 당시 사이버 공격에 악용되었다는 증거가 발견되지 않았으나 소프트웨어 공급망에 위험성을 일으킬 수 있는 것으로 확인됐다.

그러나 올해 초, 사이버 보안 기업 트렐릭스(Trellix) 연구팀이 다른 보안 문제를 조사하던 중 CVE-2007-4559가 일으킨 문제를 발견했다. 트렐릭스 연구팀은 CVE-2007-4559는 다수 저장소에서 임의 파일을 중복 작성하고 코드를 실행하는 등의 문제를 일으켰다고 밝혔다.

또, 257개 저장소에 취약점을 지닌 코드가 포함되었을 확률이 높다는 사실을 발견했다. 그중 175개 저장소의 CVE-2007-4559 피해 발생 여부를 직접 확인했다. 트렐릭스 연구팀은 저장소 61%가 CVE-2007-4559의 피해에 취약하다고 분석했다.

이후 트렐릭스 연구팀은 CVE-2007-4559 취약점을 포함한 저장소 대부분이 깃허브 코파일럿과 같은 머신러닝 툴을 사용한다는 사실에 주목했다.

트렐릭스 연구원 카시미르 슐츠(Kasimir Schulz)는 블로그를 통해 CVE-2007-4559가 스파이더 IDE(Spyder IDE) 윈도 버전과 리눅스 버전에서 파일 작성과 코드 실행과 같은 문제를 일으킬 수 있다는 사실을 입증했다.

한편, 파이썬 소프트웨어 재단 측은 블리핑컴퓨터의 CVE-2007-4559 관련 문의에 답변하지 않았다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]