PyPI, 2025년 보안 강화와 투명성에 집중...신뢰 출판 5만 프로젝트 돌파

파이썬 패키지 저장소 PyPI가 2025년 한 해 동안 보안 기능 개선과 보안 사고 투명한 대응에 주력했다고 발표했다.

[한국정보기술신문] 파이썬 소프트웨어 재단이 운영하는 파이썬 패키지 인덱스 PyPI가 31일 2025년 한 해를 결산하며 보안 강화와 투명성 제고를 주요 성과로 꼽았다. PyPI는 파이썬 프로그래밍 언어를 위한 공식 서드파티 소프트웨어 저장소로, 전 세계 수백만 개발자들이 일상적으로 의존하는 핵심 인프라다.

PyPI는 올해 보안을 최우선 과제로 삼고 다양한 보안 기능을 출시했다. 가장 눈에 띄는 개선사항은 이중 인증 구현의 대폭 강화다. TOTP 기반 로그인에 이메일 인증을 추가하여 계정 보안을 한층 강화했다.

신뢰 출판 확대로 API 토큰 관리 부담 감소

신뢰 출판은 PyPI의 보안 전략에서 핵심적인 역할을 하고 있다. 올해 GitLab 자체 관리 인스턴스에 대한 지원을 확대하여 유지보수자들이 장기 API 토큰을 관리할 필요 없이 릴리스 프로세스를 자동화할 수 있게 했다. 또한 조직을 위한 사용자 정의 OIDC 발급자 지원을 도입하여 기업들이 출판 파이프라인을 더욱 세밀하게 제어할 수 있도록 했다.

신뢰 출판의 채택률은 눈부신 성장세를 보이고 있다. 현재 5만 개 이상의 프로젝트가 신뢰 출판을 사용하고 있으며, 지난 1년간 PyPI에 업로드된 전체 파일의 20% 이상이 신뢰 출판자를 통해 이루어졌다. 이는 개발 커뮤니티가 보안 강화를 위한 자동화된 출판 방식을 적극 수용하고 있음을 보여준다.

검증 가능한 소프트웨어 공급망 구축

PyPI는 올해 어테스테이션 기능에도 심혈을 기울였다. 어테스테이션은 출판자가 자신의 소프트웨어에 대해 검증 가능한 주장을 할 수 있게 하는 보안 기능이다. 모든 신뢰 출판 공급자로부터의 어테스테이션 지원을 추가했으며, 커뮤니티가 이 기능을 활용하여 소프트웨어 공급망의 보안을 개선할 것으로 기대하고 있다.

어테스테이션 기능은 소프트웨어가 특정 출처에서 생성되었음을 암호학적으로 증명할 수 있게 하여, 공급망 공격의 위험을 크게 줄일 수 있다. 이는 최근 소프트웨어 공급망을 겨냥한 공격이 증가하는 상황에서 특히 중요한 의미를 갖는다.

보안 사고 투명한 공개로 신뢰 구축

PyPI는 올해 보안 사고에 대한 투명하고 시의적절한 정보 제공에도 주력했다. 조직 팀에서 권한이 지속되는 문제, PyPI 사용자를 대상으로 한 대규모 피싱 공격, GitHub Actions 워크플로를 통한 토큰 탈취 캠페인, npm 생태계의 샤이훌루드 공격의 잠재적 영향 등 여러 사건에 대한 상세한 사고 보고서를 발행했다.

PyPI 측은 투명성이 커뮤니티와의 신뢰를 구축하고 유지하는 데 핵심적이라고 강조하며, 앞으로도 필요에 따라 이러한 보고서를 계속 제공할 것이라고 밝혔다. 이러한 접근은 오픈소스 생태계에서 보안 문제를 다루는 모범 사례로 평가받고 있다.

안전 지원팀의 적극적 대응

올해 PyPI의 안전 지원팀과 관리자들은 사용자 요청에 대응하고 악성코드와 싸우며 건강한 생태계를 유지하기 위해 부지런히 활동했다. 다양한 유형의 지원 문의를 처리하고 악성코드 대응을 개선하는 데 상당한 진전을 이뤘다고 보고했다.

PyPI는 2026년에도 파이썬 커뮤니티 전체를 위해 보안, 안정성, 사용성을 계속 개선해 나갈 계획이다. 특히 PyPI의 규모와 신뢰성을 가능하게 하는 스폰서들과 중요한 인프라 기부자인 Fastly에 감사를 표했다. 또한 신뢰 출판, 어테스테이션, 프로젝트 아카이빙, 압축파일 완화 및 기타 보안 기능에 기여한 개발자들에게도 특별한 감사를 전했다.

한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org