온전한 사슬을 위해 - 공급망 공격
안녕하세요. 보안클라우드 입니다.
최근 몇 년 동안 공급망 공격(Supply Attack)은 사이버 보안의 심각한 문제로 부상해왔습니다. 이러한 유형의 공격은 기업과 조직의 전반적인 안전성에 막대한 위협을 가하고 있으며, 이에 대한 인식과 대응이 시급합니다. 이번 포스팅에서는 공급망 공격에 대해 알아보는 시간을 가져보도록 하겠습니다.
공급망 공격이란
소프트웨어 개발사의 네트워크에 침투하여 소스코드를 수정 혹은 악성 코드를 삽입 후
개발사는 이를 모른 체 배포하여 사용자 PC에서 소프트웨어 설치 또는 업데이트 시에 자동으로 감염되도록 하는 공격.
사슬로 비유하자면, 하나의 링크가 꺾이면 전체 사슬이 파괴될 수 있다는 점에서 비슷합니다. 사슬의 하나의 링크가 손상되는 것과 같이, 공급망에서 하나의 취약점은 연결되어 있는 전체 공급망에 치명적인 영향을 미칠 수 있습니다.
공급망이란 일반적으로 제품이나 서비스가 공급자로부터 소비자에게 전달되기까지의 조직, 사람, 자원 등에 대한 시스템을 말합니다. 하드웨어 또는 소프트웨어가 개발 및 배포 과정을 살펴보면 먼저 개발업체를 통해 제품에 대한 개발이 이루어지고 사용자에게 배포하는 과정을 거치게 되는데 이러한 여러 과정 속 하나의 부분에 침투하여 사용자에게 전달되는 소프트웨어나 하드웨어를 변조하는 형태의 공격을 말합니다.
공급망 공격 영향
공급망 공격 시각화(출처:Pentest Tools)
공급망 공격이 심각한 이유는 공들여 쌓아 올린 돌탑의 맨 아랫부분을 공략하면 맨 위까지 영향이 미치는 것처럼 작은 요소 하나만 잘 공략해도 전체에 위협을 가할 수 있습니다. 그림과 같이 공격자는 Service Provider에만 공격하고 Provider는 이를 인지하지 못한 체 서비스를 Client에게 제공하면 공격자의 의도대로 피해를 입을 수 있습니다. 즉, 여러 기관과 조직이 연결된 공급망을 공격하면 하나의 조직에 대한 공격이 다른 여러 조직에까지 영향을 미쳐 공격자들 입장에서는 효율이 매우 좋습니다. 이러한 피해로 인해 다음과 같은 피해를 입게 됩니다.
경제적 손실 : 공급망 공격으로 인한 생산 중단, 제품 훼손, 서비스 중단 등 기업에 경제적 손실을 초래할 수 있습니다.
신뢰도 훼손 : 기업의 제품을 구매 및 이용하는 고객의 입장에서도 같이 협업하는 비즈니스 파트너 모두에게 신뢰를 상실시켜 기업 이미지, 브랜드 평판이 훼손될 수 있습니다.
데이터 유출 : 기업을 이용하는 사용자들의 개인 정보가 유출될 수 있으며, 기업의 기밀 정보와 기술을 탈취당할 수 있습니다.
사례
솔라윈즈(SolarWinds) 공급망 공격
솔라윈즈(SolarWinds)는 네트워크, 시스템 및 정보 기술 인프라 관리를 지원하는 기업용 소프트웨어 개발사입니다. 이 회사에는 Orion이라는 제품이 있는데 해당 제품의 공급망 서버가 공격자들에게 공격당해 악성 플러그인이 설치된 채로 배포된 사건입니다. 2020년 12월 솔라윈즈의 Orion 관리 플랫폼 Update 서버를 통해 악성 파일이 전파되었다고 발표하였습니다. 이로 인해 Orion을 이용하는 기업, 기관들이 버전을 업데이트하는 과정에서 악성코드가 유포되고 그 결과 1만 8천 곳 가량에 악성 코드가 설치되었습니다. 이 사건으로 우리는 공급망 공격의 심각성을 알 수 있었습니다. 공격자들 입장에선 단지 한 회사만 공격했을 뿐인데 무려 1만 8천 개의 피해를 입힌 것입니다. 이 사고로 기업은 연간 수익의 약 11%에 영향을 미쳤다고 하였습니다.
Linux의 XZ Utils 백도어
컴퓨터를 조금 공부하신 분들이라면 Linux에 대해서 알고 계실 것입니다. 2024년 3월에 발생한 사건으로 Linux에서 기본적으로 지원하는 XZ Utils에서 SSH 백도어가 설치되었던 사건입니다. 전 세계 수많은 이용자가 존재하는 Linux에 백도어가 설치되어 배포되었다는 사실에 큰 충격을 주었던 사건입니다. 조사에 따르면 공격자는 2021년 Linux 개발에 참여하여 자신의 권한을 키우며 기다린 후 관리자가 되어 XZ Utils에 백도어를 설치한 것으로 알려지고 있습니다. 해당 사건은 Linux를 최신 버전으로 업데이트하면 XZ Utils의 SSH 백도어를 이용해 인증되지 않은 원격 공격자가 인증을 전달해 감염된 시스템에서 원격 코드를 실행할 수 있었습니다.
대응 방안
공급망 공격의 영향을 줄이는 데 도움이 되는 대응 방안은 다음과 같습니다.
최소 권한 원칙 구현 : 조직에서 불필요하게 광범위한 권한을 제공하는 경우가 많습니다. 이러한 과도한 권한은 공급망 공격을 촉진하기 때문에 업무를 수행하는 데 있어서 필요한 최소 권한만 제공해야 합니다.
위험 평가 및 관리 : 공급망에서 발생할 수 있는 위험을 식별하고 평가하여 취약점을 해결합니다.
네트워크 보안 강화 : 공급망의 모든 네트워크를 강력하게 보호하기 위해 방화벽, 침입 탐지 시스템, 침입 방지 시스템 등을 사용해야 합니다.
정기적인 감사와 검토 : 공급망 보안 정책과 절차의 효과를 평가하기 위해 정기적인 감사와 검토를 실시합니다. 오래된 소프트웨어 코드를 사용하는 프로그램 유형이 있다면 반드시 검토하여 지속적으로 개선해야 합니다.
인증 및 접근 제어 강화 : 엄격한 접근 제어 및 인증 메커니즘을 구현하고 다중 요소 인증(MFA)을 사용하여 보안을 강화해야 합니다.
공급망 공격은 현대 사회에서 심각한 보안 위협으로 작용합니다. 따라서 공급망 보안은 기업의 핵심 관심사여야 하며, 강력한 보안 정책과 프로세스를 구축하여 적극적으로 대응해야 합니다. 공급망에 강화된 보안은 우리의 비즈니스 생태계를 안전하게 유지하고 성장하도록 지원할 것입니다. 조직들은 공급망의 취약점을 인식하고 적절한 대응책을 마련하여 이러한 위협으로부터 자산과 고객을 보호해야 합니다.