방수경, 김형식,

Vol. 36, No. 1, pp. 155-163, 2월. 2026
10.13089/JKIISC.2025.35.6.155, Full Text:
Keywords: Typosquatting, Software Supply Chain Security, Detection Evasion
Abstract

본 연구는 실제 사용자 오타 데이터를 기반으로 패키지 타이포스쿼팅 후보를 자동 생성하고, 기존 탐지 도구의 한계를 분석하는 것을 목표로 한다. GitHub 공개 오타 코퍼스로 학습 데이터셋을 구축하고, 문자 단위 임베딩 모 델과 LSTM 기반 시퀀스 예측 모델을 결합하여 패키지 이름 후보를 생성한다. 실험 결과, 생성된 1,000개 후보 중 6.6%가 실제 PyPI 저장소에 등록되어 있었으며, PyPI-Scan과 OSS Gadget에 대해 각각 2.2%, 2.1%의 우회율을 보여 규칙 기반 공격 대비 높은 탐지 회피 성능을 보인다. 또한, 우회한 패키지에 대해 OSS Gadget과 OpenSSF Scorecard로 잠재적 악성 여부를 분석한다. 나아가 LLaMA, Mistral, Gemma 모델을 활용한 LLM-as-Judge 실험을 통해 생성된 후보가 사용자 오타로 인식될 가능성을 평가한다. 본 연구는 실제 오타 데이터 를 기반으로 자동화된 타이포스쿼팅 패키지 생성과 탐지 회피 가능성을 실험적으로 입증하고, 소프트웨어 공급망 보안에 대한 현실적인 위협 가능성을 제시한다.

Statistics
Cite this article