PyPitfall: Dependency Chaos and Software Supply Chain Vulnerabilities in Python

이 논문은 파이썬 패키지 저장소 (PyPI) 의 37 만 개 이상의 패키지를 분석하여 직접 및 간접 종속성을 통한 취약점 전파 규모를 정량적으로 규명하고, 파이썬 소프트웨어 공급망 보안의 중요성을 강조합니다.

핵심

🍕 비유: "피자를 시키는데, 토핑이 독약이었다?"

현대 소프트웨어 개발은 피자를 시켜서 만드는 것과 비슷합니다.

• 개발자: 피자를 만들고 싶은 사람.
• 파이썬 패키지 (PyPI): 다양한 토핑 (치즈, 페퍼로니, 버섯 등) 을 파는 거대한 마트.
• 의존성 (Dependency): 피자를 만들 때 필요한 재료들.

대부분의 개발자는 처음부터 피자를 직접 반죽하고 재료를 키우지 않습니다. 대신 마트 (PyPI) 에서 이미 만들어진 토핑 (타사 패키지) 을 사다가 조합합니다. 이것이 개발을 아주 빠르게 해줍니다.

하지만 여기서 치명적인 문제가 생깁니다.

1. 직접적인 문제: 내가 산 '페퍼로니'에 독이 있을 수 있습니다.
2. 전파되는 문제 (전이 의존성): 내가 산 '페퍼로니'를 만든 회사가, '소금'을 사서 썼는데 그 '소금'에 독이 있었다면? 결국 내 피자에 독이 들어가는 것입니다.

이 논문은 **"우리 피자가 정말 안전한가?"**를 조사한 연구입니다.

---

🔍 연구가 무엇을 했나요? (PyPitfall)

연구진은 거대한 마트 (PyPI) 에 있는 **약 38 만 개의 피자 토핑 (패키지)**을 모두 뒤져보았습니다. 그리고 "이 토핑을 쓰면, 안에 숨겨진 '독약 (취약점)'이 들어갈 확률이 얼마나 되는가?"를 계산했습니다.

그 결과, 놀라운 사실을 발견했습니다.

1. "필수적으로 독약을 먹어야 하는 피자" (4,655 개)

이들은 **"이 토핑을 쓰려면, 반드시 독이 있는 버전의 소금을 써야만 한다"**는 뜻입니다.

• 상황: 피자를 만들려고 하는데, 레시피에 "독이 있는 소금만 써라"라고 적혀 있습니다.
• 결과: 이 피자를 만들면 100% 독이 들어갑니다. (설치만 하면 취약점이 발생합니다.)

2. "독이 있을 수도 있는 피자" (141,044 개)

이들은 **"독이 있는 소금도, 안전한 소금도 다 쓸 수 있다"**는 뜻입니다.

• 상황: 레시피에 "소금 1kg 이상이면 돼"라고 적혀 있습니다. 소금에 독이 있는지 없는지 개발자가 모릅니다.
• 결과: 운이 나쁘면 독이 있는 소금이 들어갈 수 있습니다. (잠재적 위험)

---

🕸️ 왜 이렇게 위험할까요?

1. 미로 같은 레시피 (의존성 지옥)

피자를 만들 때, 페퍼로니를 사면 그 안에 '치즈'가 들어있고, 그 치즈를 만들 때 '우유'가 들어가고, 그 우유를 만들 때 '사료'가 들어갑니다.

• 연구진은 어떤 피자는 23 단계까지 깊게 연결된 레시피를 발견했습니다.
• 개발자는 "내가 페퍼로니만 샀지, 그 안에 숨겨진 사료까지 신경 쓸 수 있나?"라고 생각하지만, 실제로는 그 깊은 곳의 사료 (패키지) 에 문제가 생기면 전체 피자가 망가집니다.

2. 원형 미로 (순환 의존성)

어떤 피자는 "페퍼로니를 사려면 치즈가 필요하고, 치즈를 사려면 다시 페퍼로니가 필요하다"는 식으로 끝없는 고리를 만들기도 했습니다.

• 컴퓨터가 이걸 계산하려다 무한 루프에 빠져서 멈춰버리는 '지옥' 같은 상황입니다.

3. 낡은 레시피 (구버전 사용)

많은 개발자가 "옛날 레시피 (구버전) 가 더 안정적이야"라고 생각하며 오래된 토핑을 사용합니다. 문제는 오래된 토핑에는 이미 알려진 독 (취약점) 이 있다는 것입니다. 하지만 개발자들은 이를 모르고 계속 사용합니다.

---

💡 이 연구가 우리에게 주는 교훈

이 논문은 **"우리가 쓰는 소프트웨어는 혼자 만들어지는 게 아니라, 수많은 타사의 재료가 얽혀 만들어진 거대한 사슬이다"**라고 경고합니다.

• 현재 상황: 우리가 쓰는 파이썬 프로그램 100 개 중 약 12 개는 반드시 알려진 보안 구멍을 품고 있습니다. 또 100 개 중 약 37 개는 잠재적으로 구멍이 있을 수 있습니다.
• 해결책: 개발자들은 "내 코드만 안전하면 돼"라고 생각하지만, 사실은 내 코드보다 훨씬 아래층에 있는 작은 패키지 하나가 전체를 무너뜨릴 수 있습니다.

🛡️ 결론: "내 집의 안전을 위해 이웃집도 확인해야 합니다"

이 연구는 파이썬 생태계의 보안이 얼마나 취약한지 숫자로 증명했습니다. 마치 **"우리가 사는 아파트 한 채의 안전을 위해, 그 아파트를 지은 모든 자재 (시멘트, 철근, 타일) 가 안전한지, 그리고 그 자재를 만든 공장까지 안전한지 확인해야 한다"**는 메시지입니다.

우리는 편리함을 위해 남의 코드를 많이 쓰지만, 그 편리함 뒤에 숨겨진 **'의존성의 덫 (PyPitfall)'**을 주의 깊게 살펴봐야 한다는 것이 이 논문의 핵심입니다.

기술 요약

PyPitfall: 파이썬 소프트웨어 공급망의 의존성 혼란 및 취약점 분석 요약

1. 연구 배경 및 문제 정의 (Problem)

현대 소프트웨어 개발은 제 3 자 패키지 (Third-party packages) 에 대한 의존성이 매우 높습니다. 파이썬의 공식 패키지 저장소인 PyPI(Python Package Index) 는 60 만 개 이상의 프로젝트와 600 만 개 이상의 릴리스를 보유하고 있습니다. 이러한 의존성은 개발 속도를 높이지만, **소프트웨어 공급망 **(Software Supply Chain)을 복잡하게 만들어 보안 위험을 증폭시킵니다.

주요 문제는 다음과 같습니다:

• 전파성 취약점: 한 패키지의 취약점이 직접 의존성 (Direct Dependency) 을 넘어 전이 의존성 (Transitive Dependency) 을 통해 하위 애플리케이션까지 전파될 수 있습니다.
• 분석의 부재: 기존 도구들 (pip-audit, in-toto 등) 은 설치된 패키지나 CI/CD 파이프라인 내의 알려진 취약점을 탐지하는 데 초점을 맞추고 있으나, 전체 PyPI 생태계의 의존성 구조와 취약점의 보편성을 정량적으로 분석한 연구는 부족했습니다.
• **의존성 지옥 **(Dependency Hell) 버전 충돌, 순환 의존성 (Circular Dependency), 해결 불가능한 의존성 등으로 인해 개발자들은 보안 업데이트를 적용하기 어려운 상황에 직면합니다.

2. 연구 방법론 (Methodology)

저자들은 PyPitfall이라는 도구를 개발하여 PyPI 생태계 전체의 의존성 메타데이터를 정량적으로 분석했습니다. 분석 파이프라인은 크게 네 단계로 구성됩니다.

2.1. 데이터 수집 (Data Collection)

• 대상: PyPI 의 모든 패키지 (약 62 만 개 중 616,266 개 유효 패키지) 를 대상으로 합니다.
• 도구: Johnnydep을 활용하여 pip의 설치 시뮬레이션 (dry-run) 을 수행하고, 각 패키지의 직접 및 전이 의존성 메타데이터 (이름, 버전 지정자 등) 를 추출합니다.
• 처리량: 4 대의 머신에서 병렬 처리하여 약 17 일간 616,266 개의 패키지를 처리했습니다. 이 중 378,573 개 (60.3%) 의 의존성 구조를 성공적으로 해결 (Resolution) 했습니다.

2.2. 취약점 데이터 준비

• CVE 목록: NVD 및 MITRE 데이터베이스에서 "Python library" 관련 CVE 를 검색하여 67 개의 정제된 (Curated) 취약점 목록을 구성했습니다. 이는 Python Packaging Advisory Database 에 미등록된 CVE 도 포함합니다.
• 범위: 취약한 버전 범위 (예: <1.3.0, (>=2.0.0 ∧ <2.0.6)) 를 논리 연산자와 함께 처리합니다.

2.3. 의존성 제약 조건 계산 및 비교

• 제약 조건 통합: 하나의 패키지가 여러 경로를 통해 동일한 의존성을 요구할 경우, 모든 경로의 버전 제약 조건을 교집합 (Intersection) 하여 유효한 제약 조건 집합 ($S$) 을 도출합니다.
• 노출 유형 분류:
  1. **확실한 노출 **(Guaranteed Exposure) 패키지가 허용하는 모든 버전 ($S$) 이 취약한 버전 집합 ($V$) 에 완전히 포함되는 경우 ($S \subseteq V$). 이 경우 해당 패키지를 설치하면 반드시 취약한 버전이 설치됩니다.
  2. **잠재적 노출 **(Potential Exposure) 허용된 버전 집합과 취약 버전 집합의 교집합이 존재하지만 ($S \cap V \neq \emptyset$), 전체가 취약한 것은 아닌 경우. 의존성 해결 과정에서 취약한 버전이 선택될 가능성이 있습니다.

2.4. 기술적 도전 과제

• 순환 의존성: pip 가 무한 루프에 빠지는 경우 (예: square-0-5 패키지) 를 처리하기 위해 타임아웃 및 노드 방문 기록 체크를 구현했습니다.
• 해결 불가: 시스템 호환성 문제 (Python 버전, OS, 아키텍처) 나 존재하지 않는 패키지로 인해 38.6% 의 패키지는 의존성 해결에 실패했습니다.

3. 주요 기여 (Key Contributions)

1. PyPI 생태계의 포괄적 분석: 378,573 개의 패키지와 그 의존성 (직접 및 전이) 을 포함한 대규모 데이터셋을 분석했습니다.
2. 보안 위험 정량화: 알려진 취약점이 포함된 버전이 명시적으로 요구되거나 허용되는 패키지의 수를 정확히 산출했습니다.
3. 생태계 수준의 통찰: Python 소프트웨어 공급망의 보안 위험을 정량화하여 개발자와 유지보수자에게 경각심을 고취시켰으며, Python Packaging Authority 에 책임 있는 공개 (Responsible Disclosure) 를 수행했습니다.

4. 분석 결과 (Results)

4.1. 의존성 복잡성

• 규모: 분석된 378,573 개 패키지에서 총 57,767 개의 고유한 하위 패키지와 4,797 만 개 이상의 의존성 노드가 발견되었습니다.
• 깊이: 평균적으로 각 패키지는 2.6 개의 직접 의존성과 129.6 개의 전이 의존성을 가지며, 평균 깊이 (Depth) 는 2.3 단계입니다.
• 극단적 사례: 가장 깊은 의존성 체인은 23 단계까지 확인되었으며, 일부 패키지는 100 개 이상의 의존성을 가집니다.
• 순환 의존성: 총 1,075,559 개의 순환 의존성이 발견되었으며, 이는 평균 10.3 단계의 깊이에서 발생하여 해결이 어렵습니다.

4.2. 취약점 노출 현황

• **확실한 노출 **(Guaranteed Exposure) 4,655 개의 패키지가 알려진 취약한 버전을 명시적으로 요구합니다.
• **잠재적 노출 **(Potential Exposure) 141,044 개의 패키지가 취약한 버전을 허용하는 범위 내의 의존성을 가집니다.
• 위치: 취약한 패키지는 평균 깊이 4.1 (확실한 노출) 및 6.2 (잠재적 노출) 에 위치하며, 이는 전체 평균 깊이 (2.3) 보다 깊어 전파 위험이 큽니다.

4.3. 사례 연구: urllib3

• urllib3는 상위 100 개 의존성 패키지 중 하나이며, 407,333 번의 의존성 체인에 등장합니다.
• 분석된 CVE 들 중 CVE-2024-37891만으로도 2,169 개의 확실한 노출과 100,213 개의 잠재적 노출을 발생시켰습니다.
• 이는 인기 있는 상위 레벨 패키지가 하위 의존성 체인을 통해 취약점을 전파하는 주요 경로임을 보여줍니다.

5. 의의 및 결론 (Significance)

이 연구는 PyPitfall을 통해 파이썬 소프트웨어 공급망이 얼마나 취약한지 정량적으로 증명했습니다.

• 경각심 고취: 많은 개발자가 직접 의존성만 관리하고 전이 의존성의 보안 상태를 인지하지 못한다는 점을 지적했습니다.
• 보안 정책 제안: 단순한 설치 후 스캔을 넘어, 의존성 메타데이터 기반의 선제적 위험 평가와 업데이트 전략의 필요성을 강조합니다.
• 향후 과제: 현재 연구는 67 개의 CVE 로 제한적이었으며, 더 넓은 취약점 데이터베이스를 활용하고, 해결되지 않은 38.6% 의 패키지에 대한 심층 분석이 필요함을 제안합니다.

결론적으로, 이 논문은 복잡한 의존성 구조가 어떻게 소프트웨어 공급망 전체의 보안을 위협하는지 명확히 보여주며, Python 생태계의 보안 강화를 위한 기초 데이터를 제공합니다.