보안 인사이트

SW 공급망 공격 보안 해법은 없을까? 공격자 관점의 대응 전략

SW 공급망 공격 보안 해법은 없을까? 공격자 관점의 대응 전략

엔키화이트햇

2024. 11. 29.

서론

요즘 뉴스에 'SW 공급망 공격'이라는 단어를 자주 접하게 됩니다. 무언가 큰 문제가 생긴 건 알겠는데, 도대체 'SW 공급망'이 무엇이고 왜 이렇게 많은 사람들이 걱정하는 걸까요? 이번 글에서는 SW 공급망 공격에 대해 알아보고, 어떻게 하면 이런 위협으로부터 우리를 안전하게 지킬 수 있을지에 대해 이야기해 보려고 합니다. 조금은 무거운 주제일 수도 있지만, 최대한 이해하기 쉽고 재미있게 풀어보겠습니다.


SW 공급망이란?

SW 공급망(Software Supply Chain)은 소프트웨어가 만들어지고 배포되기까지 거치는 모든 단계와 관련된 다양한 요소들을 포함합니다. 간단히 말해, 소프트웨어가 우리 손에 오기까지의 모든 여정을 말하는 것인데요. 개발자, 외부 라이브러리, 패키지, 그리고 소프트웨어를 최종 사용자에게 전달하기 위한 배포 경로까지, 이 모든 것이 SW 공급망에 포함됩니다. 공급망의 각 요소가 서로 연결되어 있기 때문에, 어느 한 부분에 문제가 생기면 전체 소프트웨어가 위협받을 수 있습니다. 마치 도미노처럼 말이죠!

급증하는 SW 공급망 공격

최근 몇 년 동안 SW 공급망을 노린 공격이 급격히 증가하고 있는데요. 대표적인 사례로는 2020년의 SolarWinds 사건을 들 수 있습니다. SolarWinds의 네트워크 관리 소프트웨어인 Orion이 공격자에 의해 악성코드로 감염되었고, 이를 사용하던 수많은 기업과 정부 기관들이 심각한 보안 위협에 노출되었죠. 마치 집안 열쇠를 도둑에게 넘겨준 것과 같은 상황이었습니다.

  • SolarWinds 백도어(2020.3)

  • MS Exchange 취약점 공격(2021.3)

  • CodeCov CI/CD 조작(2021.4)

  • Kaseya 원격관리솔루션 해킹(2021.7)

  • Log4j 취약점 공격(2021.12)

  • PyTorch 악성패키지 등록(2022.12)

  • 3CX 악성코드 삽입(2023.3)

  • Inisafe 보안인증 SW(2023.3)

  • JetBrains 공급망 공격(2023.9)

  • Okta 공급망 공격(2023.10)

또 다른 사례로는 2017년에 있었던 NotPetya 공격이 있습니다. 우크라이나 회계 소프트웨어의 업데이트 과정에 악성코드가 몰래 삽입되면서, 전 세계적으로 큰 피해를 일으켰죠. 이렇게 공급망을 노리는 공격은 그 피해 범위가 광범위하고, 한 번 뚫리면 파급력이 큽니다.

SW 공급망 공격의 예방·대응이 어려운 이유

SW 공급망 공격을 예방하고 탐지하며 대응하는 것이 어려운 이유는 여러 가지가 있는데요. 먼저, 소프트웨어 개발 과정에서 수많은 외부 라이브러리와 모듈을 사용하기 때문에 전체 공급망을 완전히 통제하기가 쉽지 않습니다. 외부에서 가져온 코드에 악성코드가 숨어있다면 이를 식별하는 것도 매우 어렵습니다.

또, 소프트웨어 업데이트가 정상적으로 이루어지고 있는지 항상 검증하는 것도 어려운 일입니다. 무엇보다 공격자들은 매우 교묘하게 움직이며, 보안팀이 눈치채기 전에 오랫동안 시스템에 잠복할 수 있기 때문이죠. 결국, 공급망의 각 단계에서 보안이 취약해질 수밖에 없고, 이런 복잡성과 다단계성이 공격자들에게 기회를 제공하는 셈입니다. ​

이처럼 기존의 '경계 보안'으로는 SW 공급망 공격에 대한 대응에 한계가 있습니다. 이러한 한계로 인해 위협 발견 시 빠르게 파악하고 패치하기 위한 'SBOM'(Software Bill of Materials)과 경계 보안과 반대되는 '제로 트러스트'(Zero Trust) 개념이 등장하게 되었는데요.​

하지만 SBOM에는 몇 가지 어려움이 있습니다. 수많은 소프트웨어의 SBOM을 관리하고 운영하는 것이 쉽지 않으며, VDR 및 VEX의 신뢰성 검증과 적용에도 한계가 있습니다. 또한, 제로데이 취약점에 대응하기 어렵고, 잘못된 설정 및 구성으로 인한 공격에는 대응할 수 없다는 문제점도 있습니다.​

제로 트러스트의 경우에는 실제 구현이 매우 어려운데요. 기존 시스템에서 제로 트러스트로 전환하기 위해서는 각 부분에 대한 식별과 평가가 필요하며, 추가 인증 적용 수준에 대한 최소한의 기준을 설정하는 것도 큰 도전입니다. 이러한 점에서 제로 트러스트의 도입 역시 쉽지 않은 과제입니다.​

공격자 관점의 보안 대응의 필요성

이렇게 교묘한 공급망 공격에 효과적으로 대응하려면 단순히 방어적인 접근만으로는 한계가 있습니다. 때로는 공격자의 시선으로 생각해 보는 것이 필요한데요. 공격자들이 어떻게 시스템을 침투하고 악용할지를 이해하는 것이죠. 이를 통해 공격자가 공급망의 어느 지점을 노릴 가능성이 높은지, 어떻게 숨어들 수 있는지를 미리 예측하고 대응할 수 있습니다.

앞으로 기업, 조직 보안을 위해선 공격자 관점에서 생각하고 그들이 시스템을 어떻게 침투하고 악용할 수 있을지를 이해하는 것이 필수적이게 될 것이라 생각되는데요. 이를 위해 실제 공격자처럼 행동해 보는 접근이 필요한데, 예를 들어 침투 테스트(Penetration Testing)를 통해 기업 시스템의 취약점을 직접 찾아내는 것입니다. 침투 테스트는 공격자가 취할 수 있는 다양한 경로를 모의 실험해 봄으로써, 기업의 보안 상태를 현실적으로 평가할 수 있습니다.

또한 시나리오 기반의 공급망 공격 훈련도 중요합니다. 이 훈련은 실제 공급망 공격 시나리오를 기반으로 하여 기업 내부의 보안 팀이 어떤 식으로 대응할 수 있는지 실습하는 것을 목표로 하는데요. 이렇게 훈련된 팀은 실제 공격 상황에서 더 빠르고 정확하게 대응할 수 있죠. 마치 연습 경기에서 미리 전략을 다져보는 축구팀처럼, 실전에 앞서 충분히 준비하는 것입니다.

이메일 APT(Advanced Persistent Threat) 훈련도 빼놓을 수 없습니다. APT 공격은 매우 정교하게 설계된 피싱 메일을 통해 시작되는 경우가 많습니다. 이를 대비해 내부 직원들이 APT 메일을 식별하고 대응하는 훈련을 정기적으로 실시하면, 공격자가 아무리 교묘하게 메일을 위장하더라도 그들의 첫 번째 시도를 무력화시킬 수 있습니다.

SW 공급망 공격은 단순히 한 기업의 문제가 아닙니다. 해당 소프트웨어를 사용하는 모든 조직에 큰 영향을 미칠 수 있는 심각한 위협이죠. 공급망이 복잡하고 다단계적이라 완벽히 보호하는 것이 쉽지 않지만, 공격자 관점에서의 사고와 대응이 그 해법이 될 수 있습니다. 공격자를 이해하고 그들이 노릴 만한 지점을 미리 예측함으로써, 보다 강력하고 실질적인 보안 체계를 구축할 수 있을 것입니다.

'The proof of the pudding is in the eating(푸딩의 진가는 먹어봐야 안다)'는 말이 있죠. 우리 동양권에서는 '百聞不如一見, 백문이 불여일견'라고도 하는데요, 보안에서도 마찬가지입니다. 직접 경험하고 실험해 보는 것이야말로 그 진가를 알 수 있는 방법입니다. 결국, 우리는 이 싸움에서 먼저 한 수 앞서야 합니다. 공격자가 올 때, 우리는 이미 그들을 기다리고 있어야 하니까요.

엔키화이트햇

엔키화이트햇

ENKI Whitehat
ENKI Whitehat

오펜시브 시큐리티 전문 기업, 공격자 관점으로 깊이가 다른 보안을 제시합니다.

오펜시브 시큐리티 전문 기업, 공격자 관점으로 깊이가 다른 보안을 제시합니다.

침해사고 발생 전에
지금 대비하세요

빈틈없는 보안 설계의 시작, NO.1 화이트 해커의 노하우로부터

문의하기

침해사고 발생 전에
지금 대비하세요

빈틈없는 보안 설계의 시작, NO.1 화이트 해커의 노하우로부터

문의하기

침해사고 발생 전
지금 대비하세요

빈틈없는 보안 설계의 시작,
NO.1 화이트 해커의 노하우로부터

문의하기

공격자 관점의 깊이가 다른 보안을 제시합니다.

Contact

biz@enki.co.kr

02-402-1337

서울특별시 송파구 송파대로 167
(테라타워 B동 1214~1217호)

ENKI Whitehat Co., Ltd.

Copyright © 2024. All rights reserved.

공격자 관점의 깊이가 다른 보안을 제시합니다.

ENKI Whitehat Co., Ltd.

Copyright © 2024. All rights reserved.