당근이 파이썬 공급망 공격에 대응하는 방법
데브옵스
당근이 파이썬 공급망 공격에 대응하는 방법
두줄요약
LiteLLM 공급망 공격을 계기로 사내 PyPI 프록시에 쿨다운 정책을 도입했습니다.\nPEP 503과 PEP 691을 함께 활용해 최근 업로드 패키지를 필터링하고 전사에 일괄 적용했습니다.
핵심 내용
- LiteLLM 등 파이썬 패키지 공급망 공격 사례를 계기로, 패키지 설치 시점 자체를 늦추는 쿨다운 정책을 사내에 도입
- AWS CodeArtifact 앞단에 얇은 PyPI 프록시를 두어 사용자 환경에서는 일반 PyPI처럼 보이게 하고, 프록시가 인증·토큰 갱신·트래픽 관측을 담당
- PEP 503 HTML 응답과 PEP 691 JSON 응답을 함께 활용해, JSON의 upload-time 기준으로 최근 업로드된 파일을 필터링
- Central Dogma로 쿨다운 기간, 활성화 여부, 예외 패키지를 동적으로 관리해 전사 정책으로 적용
적용해볼 점
- 공급망 공격 노출 시간을 줄이기 위한 dependency cooldown 도입 검토
- 사용자별 설정 의존성을 줄이는 단일 진입점 프록시 구조 적용
- 패키지 메타데이터와 정책 설정을 분리해 운영 중에도 보안 정책을 유연하게 조정