파이썬 패키지 인덱스(PyPI) 보안 고도화 및 악성코드 탐지 데이터셋 구축
핵심 인프라 및 커뮤니티 지원... 오픈소스 생태계 전반 보안 수준 제고 기대

[보안뉴스 조재호 기자] AI 기업 앤스로픽이 파이썬소프트웨어재단(Python Software Foundation)과 2년 간 파트너십을 체결하고 총 150만달러(약 21억원)를 투자한다고 13일(현지 시간) 밝혔다.

이번 투자는 파이썬 생태계 보안 강화와 재단 핵심 사업 지원에 중점을 뒀다.


앤스로픽의 지원금은 재단의 보안 로드맵 작업에 투입될 예정이다. 수백만 개발자가 활용하는 파이썬 패키지 인덱스(PyPI)를 공급망 공격 위협으로부터 보호한다는 목표다.

재단은 PyPI에 업로드되는 모든 패키지를 사전 자동 검토하는 도구를 개발할 계획이다. 기존 사후 대응 방식에서 벗어나 선제적 대응 체계로 전환하겠다는 의지다.

이를 위해 알려진 악성코드 데이터셋을 구축하고, 기능 분석 기반 탐지 도구를 설계할 예정이다. 이 기술이 파이썬 외 다른 오픈소스 패키지 저장소에서도 활용할 수 있어, 오픈소스 생태계 보안 강화에 기여할 것으로 기대한다.

파이썬 언어 발전과 커뮤니티 지원을 위한 재단 핵심 업무에도 자금이 쓰인다. CPython 개발을 주도하는 ‘상주 개발자’(Developer in Residence) 프로그램 지원, 커뮤니티 보조금 지급, PyPI 등 핵심 인프라 운영 등이 포함된다.

이번 프로젝트는 알파-오메가(Alpha-Omega)의 후원을 받는 세스 라슨(Seth Larson) 보안 개발자와 마이크 피들러(Mike Fiedler) PyPI 보안 엔지니어가 주도하는 기존 보안 로드맵을 기반으로 확장될 예정이다.

재단 관계자는 “앤스로픽의 파격적 지원에 깊이 감사드린다”며 “이번 투자는 CPython과 PyPI의 보안을 획기적으로 개선해 모든 사용자에게 혜택을 주는 동시에, 파이썬 생태계와 글로벌 커뮤니티를 지탱하는 든든한 기반이 될 것”이라고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>