최근 글로벌 AI 개발자 커뮤니티를 중심으로 한 가지 소식이 주목받고 있습니다. 널리 쓰이는 AI 학습 라이브러리인 파이토치 라이트닝의 특정 버전에서 ‘샤이훌루드’라는 이름의 악성코드가 발견된 것입니다. 이 악성코드는 2.6.2와 2.6.3 버전에 심어져 있어, 해당 패키지를 가져오는 순간 자격 증명을 탈취하는 행동을 보인다고 알려졌습니다. 이름만 들어도 SF 소설의 거대한 모래벌레를 연상시키는 이 코드는 단순한 장난이 아니라, 오픈소스 생태계의 공급망 공격이 얼마나 정교해졌는지를 보여주는 사례로 해석됩니다.
이 소식이 화제가 된 배경에는 최근 소프트웨어 공급망 공격의 빈도 증가와 이에 대한 경계심이 자리 잡고 있습니다. 하커 뉴스와 같은 기술 커뮤니티에서는 과거의 ‘레프트 패드’ 사태를 회상하며, 최근 몇 달 사이에 주요 패키지에서 발생한 고위험 공급망 공격이 유독 많다는 점을 지적했습니다. 개발자들은 예전보다 공격의 성공 확률이 높아졌을 뿐만 아니라, 한 번 성공했을 때 파급력이 훨씬 커졌다고 우려합니다. 특히 초기에는 취미 프로젝트로 시작해 나중에는 수많은 다른 프로젝트의 의존성이 되는 오픈소스 라이브러리의 특성상, 보안 도구의 접근성이 부족하다는 지적도 함께 제기됩니다.
이러한 흐름 속에서 파이토치 라이트닝에 숨어든 악성코드는 단순한 기술적 이슈를 넘어, AI 인프라의 안전성에 대한 질문을 던집니다. 많은 개발자가 AI 모델을 훈련할 때 이 라이브러리를 필수적으로 사용하는데, 여기에 악성 코드가 숨어있다면 대규모 프로젝트 전체의 보안이 위협받을 수 있기 때문입니다. 일부 전문가들은 상업적인 소프트웨어 회사가 공급망 관리를 더 철저히 해야 하지만, 현재로서는 대중적이고 접근하기 쉬운 보안 도구가 여전히 부족하다고 평가합니다.
앞으로 주목해야 할 점은 이러한 공격이 단순한 우연이 아니라 체계적인 패턴으로 이어질지 여부입니다. 개발자들은 이제 의존성을 아예 없애거나, 필요한 코드 조각만 추출해 직접 내장하는 방식으로 대응책을 모색하기도 합니다. 하지만 산업용 소프트웨어가 완전히 의존성에서 자유로워지기까지는 시간이 걸릴 것이므로, 향후 오픈소스 패키지의 보안 검증 프로세스가 어떻게 진화할지, 그리고 AI 학습 파이프라인에 숨어든 위협을 어떻게 선제적으로 차단할지가 중요한 관전점이 될 것입니다.
작성자 소개
