다음세대 파이썬 공급망 공격을 위한 동적 분석 데이터셋 QUT DV25

초록

본 논문은 파이썬 패키지 인덱스(PyPI) 생태계에서 발생하는 최신 공급망 공격을 탐지·완화하기 위해, 설치·설치‑후 행동을 실시간으로 추적하는 eBPF 기반 샌드박스에서 14,271개의 패키지(악성 7,127개)를 수집한 QUT DV25 데이터셋을 제시한다. 36개의 시스템 호출·네트워크·리소스·디렉터리·의존성 등 다양한 특성을 제공하며, 이를 활용한 머신러닝·딥러닝 실험에서 기존 메타데이터·정적 데이터셋이 놓친 4개의 악성 패키지를 성공적으로 탐지하였다.

상세 분석

QUT DV25는 기존 메타데이터·정적 분석 데이터셋이 갖는 “설치‑시점·설치‑후 행동을 관찰하지 못한다”는 근본적인 한계를 극복한다는 점에서 의미가 크다. 논문은 먼저 16대의 라즈베리파이와 고성능 GPU 클러스터를 이용해 완전 격리된 테스트베드를 구축하고, Linux 6.8 커널에 eBPF 프로그램을 삽입해 커널·유저 레벨 이벤트를 실시간으로 캡처한다. 초기 105개 이상의 eBPF 프로브 중 36개의 핵심 프로브를 선정해 시스템 콜, 파일·디렉터리 접근, 네트워크 트래픽, CPU·메모리 사용량, 의존성 해결 로그 등 6가지 카테고리로 정형화하였다.

데이터 수집 단계에서는 공개된 위협 인텔리전스 소스(GitHub Advisories, Malware DB 등)와 자체 스크래핑을 통해 악성 패키지를 7,127개 확보하고, 이름·버전 유사도 기반 알고리즘을 적용해 각각에 대응되는 benign 패키지를 7,144개 매칭시켰다. 라벨링은 VirusTotal·NDV·Snyk 등 3개의 자동 검증기를 사용하고, 다수결 원칙에 따라 최종 라벨을 부여했으며, 불확실한 경우 수동 검토를 거쳤다.

수집된 트레이스는 CSV·Parquet 형태로 저장돼, 대규모 머신러닝 파이프라인에 바로 투입할 수 있다. 논문은 랜덤 포레스트, XGBoost, 1‑D CNN, LSTM 네 가지 모델을 적용해 5‑fold 교차 검증을 수행했으며, 평균 정확도 96 % 이상, F1‑score 0.94를 기록했다. 특히, 기존 메타데이터·정적 데이터셋 기반 모델이 전혀 탐지하지 못한 4개의 악성 패키지를 동적 특성만으로 정확히 식별했으며, 이들 패키지는 수천 건의 다운로드 기록을 가지고 있었음이 확인되었다.

또한, eBPF 기반 추적이 비교적 낮은 오버헤드(평균 CPU % < 3, 메모리 < 50 MB)로 실시간 모니터링에 적합함을 실험적으로 입증했다. 한계점으로는 라즈베리파이 기반 샌드박스가 실제 서버 환경과 완전 일치하지 않을 수 있고, 악성 코드가 하드웨어 의존적 동작을 보일 경우 탐지율이 감소할 가능성을 언급한다. 향후 연구에서는 다양한 OS·아키텍처에 대한 확장과, eBPF 프로브 자동 최적화, 그리고 연합 학습을 통한 프라이버시 보호 모델 구축을 제안한다.