보안

'서드파티를 조심하라' 공급망 공격을 경계해야 하는 이유와 완화 방법

Maria Korolov | CSO 2021.02.09
기업 보안의 취약한 연결 고리는 파트너 및 공급업체와 관련이 있을 수 있다. 공급망 위험을 이해하고 완화하는 방법에 대해 알아본다. 

 

ⓒ Getty Images Bank


공급망 공격이란

공급망(supply chain) 또는 서드파티 공격이라 부르는 이 공격은 누군가가 시스템 및 데이터에 대한 접근 권한을 가진 외부 파트너 또는 공급업체를 통해 시스템에 침투할 때 발생한다. 지난 수년 동안 더 많은 공급업체와 서비스 제공업체가 그 어느 때보다 중요한 데이터를 취급하면서 일반적인 기업의 공격 표면이 크게 변했다. 

새로운 유형의 공격, 위협에 대한 대중의 인식 증가, 규제 기관의 감독 강화로 인해 공급망 공격과 관련한 위험은 그 어느 때보다도 높아졌다. 한편 공격자는 더 많은 자원과 도구를 사용할 수 있어 완벽한 공격 형태를 만들어내는데, 최근의 솔라윈즈(SolarWinds) 공격이 대표적인 예다. 


솔라윈즈 공격, 공급망 위험을 일깨워준다

네트워킹 도구 공급업체인 솔라윈즈의 최대 1만 8,000여 고객을 대상으로 한 공격 소식은 점점 더 악화되고 있다. 뉴욕타임스 보도에 따르면, 러시아에 의한 솔라윈즈 공격은 처음 보도된 것처럼 수십 개의 정부기관과 기업 네트워크에 침투했다. 이후 250개의 기관 및 기업이 피해를 입은 것으로 파악됐으며, 공격자는 여러 공급망 계층을 활용했다. 

레비 스트라우스(Levi Strauss) 부 CISO 스티브 잘레브스키는 “이런 공격은 신뢰의 사슬을 파괴하는 것이며, 모든 서드파티 제품과 관련된 큰 문제”라며, “기업은 더이상 내부 공급망만을 고집할 수는 없다. 신뢰를 구축한 서드파티에 의존해야 하는데, 이를 위한 국내적, 국제적인 방법은 없다”라고 말했다. 

기업이 외부 공급업체에 점점 더 의존하면서 문제는 갈수록 악화되고 있다. 잘레브스키는 “이제는 소프트웨어 산업의 전체 생태계를 살펴봐야 할 때다. 공급망 위협을 완전히 해결하려면 글로벌 PKI 시스템과 같은 국제적인 신뢰의 망이 필요하다. 글로벌 도구 및 관행에 대해 모두 동의할 수 있는 곳이어야 한다”라고 충고했다.
 
잘레브스키는 "안타깝게도 이를 수행할 수 있는 실질적인 방법이 없다. 우리는 법적, 규제적, 집단적 방어가 필요하다. 하지만 이 작업을 하려면 수년 이상의 길고 긴 세월이 필요하다”라고 덧붙였다. 

보안 등급 업체인 비트사이트(Bitsight)는 솔라윈즈 공격으로 인해 사이버보험업체에 최대 9,000만 달러의 비용이 들 수 있다고 추정했다. 이는 정부 기관이 사이버 보험에 가입하지 않기 때문이다. 또한 공격자는 정보를 도용하기 위해 가능한 한 탐지되지 않기 위해 시스템에 큰 피해를 주지 않았다.
 
2017년에도 러시아 소행으로 알려진 또 다른 공급망 공격은 국가 인프라를 표적으로 우크라이나 회계 소프트웨어를 해킹했지만, 의도와는 달리 악성코드는 다른 국가로 빠르게 확산됐다. 낫페트야(NotPetya)는 100억 달러 이상의 피해를 입혔으며, 머스크(Maersk), 페덱스(FedEx), 그리고 머크(Merck)와 같은 다국적 기업들의 운영에 차질을 빚었다. 

일반적으로 소프트웨어를 해킹하면 공격자는 해당 소프트웨어를 사용하는 모든 기업에 잠재적으로 접근할 수 있기 때문에 공급망 공격은 해커들에게 매력적이다.

 
모든 IT 공급업체, 공급망 공격에 취약 

기업용 소프트웨어, 또는 하드웨어를 생산하는 업체는 늘 공격자의 잠재적인 표적이 된다. 국가 주도의 공격자들은 보안에 가장 민감한 기업도 침투할 수 있는 풍부한 자원과 기술을 보유하고 있다.

보안 공급업체조차도 표적이 될 수 있다. 예를 들어, 솔라윈즈의 경우, 침해된 업체 가운데 하나가 유명한 사이버보안 공급업체인 파이어아이(FireEye)였다. 파이어아이는 공격자들이 고객 대면 시스템에 침투한 것이 아니라 보안 테스트에 사용된 침투 도구에 침입했다고 밝혔다. 하지만 이 사실 자체가 아주 걱정스러운 것이다. 

솔라윈즈 공격자의 공격을 받은 다른 공급업체로는 마이크로소프트와 또 다른 보안 공급업체인 맬웨어바이츠(Malwarebytes)가 있다. 맬웨어바이츠 CEO 마신 클레진스키는 1월 19일 게시물을 통해 “솔라윈즈 공격의 공급망 특성을 고려해 즉각 자체 소프트웨어를 리버스엔지니어링(reverse-engineering)을 하는 등 맬웨어바이츠의 모든 소스코드, 빌드 및 제공 프로세스를 철저히 조사했다”라고 밝혔다. 

이메일 보안 공급업체인 마임캐스트(Mimecast)는 지난 1월 정교한 위협 행위자의 공격을 받았다고 발표했는데, 보도에 따르면, 솔라윈즈 해킹의 배후와 동일한 그룹이라고 알려졌다.

이런 공격은 모든 공급업체가 취약하고 해킹 당할 수 있음을 보여준다. 실제로 지난해 가을, 보안 공급업체 이뮤니웹(ImmuniWeb)은 전 세계 400대 사이버보안 업체 가운데 97%가 다크웹(dark web)에 데이터 유출이나 기타 보안 사고를 경험했으며, 91개 기업이 악용 가능한 웹사이트 보안 취약점을 갖고 있다고 보고했다.
 
공급망 공격 유형은 최근에 개발된 것이 아니다. 2011년 RSA 시큐리티는 시큐어ID(SecurID) 토큰이 해킹 당했다고 인정했다. 그 결과 고객 가운데 록히드마틴(Lockheed Martin)이 공격을 받았다.  

상용 소프트웨어 공급업체의 해킹을 수반하는 솔라윈즈와 같은 공격 외에도 2가지 다른 유형의 공급망 공격이 있다. 오픈소스 소프트웨어 프로젝트에 대한 공격과 정부가 자국의 공급업체 제품에 직접 간섭하는 경우다. 


오픈소스 공급망 위협 

상용 소프트웨어만이 공급망 공격의 대상이 아니다. 소나타입(Sonatype)의 2020 소프트웨어 공급망 보고서(2020 State of the Software Supply Chain Report)에 따르면, 모든 애플리케이션의 90%가 오픈소스 코드를 포함하고 있으며, 이 가운데 11%가 알려진 취약점을 갖고 있기 때문에 오픈소스 소프트웨어 프로젝트를 대상으로 하는 공급망 공격은 기업에 큰 문제가 된다. 

예를 들어, 기업이 거의 20억 달러의 비용이 든 2017년 에퀴팩스 침해 사건에서 공격자들은 패치되지 않은 아파치 스트럿츠(Apache Struts) 취약점을 이용했다. 21%의 기업이 지난 12개월 동안 오픈소스 관련 침해를 경험했다고 밝혔다. 

공격자는 오픈소스 소프트웨어에서 취약점이 나타날 때까지 기다릴 필요가 없다. 지난 수년동안 공격자들은 오픈소스 개발 또는 배포 프로세스를 의도적으로 해킹하기 시작했고, 효과가 있었다. 소나타입 설문조사에 따르면, 이런 유형의 차세대 공격은 지난해에 비해 430% 증가했다. 


해외 소싱의 위협

제품에 악성코드를 설치하도록 명령할 수 있는데, 왜 굳이 소프트웨어 업체를 해킹하려는 이유가 무엇일까? 러시아는 이 기술의 수출 국가로 명확하진 않지만, 중국은 아니다.
 
미 상원의원 마이크 크래포와 마크 워너는 2019년 초당파적으로 2019 마이크로칩스 법(MICROCHIPS Act)을 발표한 성명에서 “중국이 미군, 정부 및 주요 민간 플랫폼의 전자 제품을 해킹할 수 있는 잠재적인 백도어를 제공한다”라고 밝혔다.

콘스텔레이션 리서치(Constellation Research) 부사장이자 수석 분석가인 스티브 윌슨은 거의 모든 정부 기관과 민간 기업이 어느 정도 중국이나 다른 국가에서 유래한 기술에 노출되어 있다고 말했다. 


공급망 공격으로부터 기업을 보호하는 방법 

공급망 공격에 대응해 기업은 무엇을 할 수 있을까? 금융 부문이나 의료 부문과 같은 일부 규제 산업에는 이미 서드파티 위험 테스트를 제공하거나 공급업체가 준수해야 하는 일부 표준을 갖고 있다. 윌슨은 “PCI DSS(Payment Card Industry Data Security Standard)에는 모바일 결제 구성요소의 품질을 테스트하는 소프트웨어 품질 구성요소가 있다”라고 말했다.

CMM(Capability Maturity Model), ISO 9001, 공통평가기준(Common Criteria, CC), SOC(Service Organization Control) 2와 같은 좀 더 일반적인 프레임워크도 있다. 윌슨은 “나는 CMM의 열렬한 팬이다. 반면 비용을 인정하기도 한다. 최근까지도 CC를 고집하는 사람은 아무도 없다"라고 설명했다.
 
암호화 모듈에 대한 FiPS-140(Federal Information Processing Standardization 140) 인증도 있다. 윌슨은 “이 인증은 정말 비싸다. FiPS-140 인증을 받는 것은 100만 달러이며, 기업이 미 연방정부에 블랙베리를 팔지 않는 한 이 인증을 따를 순 없다”라고 비판했다.

기업은 저렴하고 빠른 소프트웨어에 너무 익숙해졌다. 윌슨은 “우리는 수십 년동안 저렴한 가격으로 소프트웨어를 사용해왔고, 이제 비용을 지불해야 한다는 사실을 받아들여야 한다”라고 말했다.

그러나 기업이 더 많은 테스트를 요구하거나 규제 기관이 개입해 더 나은 제어를 요구하면 감사 비용이 줄어들 가능성이 높다. 윌슨은 “사람들이 테스트에 더 많은 투자를 하면 테스트 비즈니스는 더 많은 수익과 경쟁을 보게 될 것이다. 자동화된 테스트와 같은 더 많은 혁신이 뒤따를 것이다”라고 덧붙였다. 

잘레브스키는 레비 스트라우스의 경우, 소프트웨어 공급업체를 자체 심사한다고 말했다. 잘레브스키는 “우리는 보안 프레임워크를 구현했으며, 해당 프레임워크를 준수함을 입증할 수 있다는 입증 가능하고 감사 가능한 증거를 보유하도록 요구한다”라고 말했다. 

레비 스트라우스는 특정 프레임워크 공급업체가 따라야 할 구체적인 사항을 지시하지 않는다. 잘레브스키는 "그러나 공급업체가 자체 보안 제어 및 관행에 대해 보내주면 우리의 보안 제어 및 관행과 호환되는지 확인해준다. 이것이 우리가 위험을 관리하는 방법이며, 여러 기업이 할 수 있는 최선의 방법이다”라고 설명했다. 

데이터센터가 해서는 안 되는 한가지 방법은 패치 배포를 중단하는 것이다. 실제로 레비 스트라우스의 패치관리 프로세스는 솔라윈즈 소프트웨어에 대한 수정사항을 뉴스가 보도되기 전에 설치했다. 이는 보도 이후, 다른 공격자로부터 기업을 보호한다는 것을 의미한다.
 
그러나 잘레브스키는 회사의 시스템이 솔라윈즈 업데이트 내에서 악성코드를 포착할 수 없었다는 점을 인정했다. 물론 아무도 하지 못했다. 파이어아이와 마이크로소프트도 모두 놓쳤다. 문제는 업데이트가 소프트웨어의 동작 방식을 변경하도록 설계됐기 때문에 업데이트에서 의심스러운 동작을 탐지하기가 어려웠던 것이다. 
 
잘레브스키는 “단순히 소프트웨어 동작 방식의 특성이다. 문제는 생태계와 그 구성 방식에 있다. 공격자들은 이 격차를 살펴보고 악용한다"라고 분석했다.
 
보안업체 딥 인스팅트(Deep Instinct) 연구 부사장 시몬 오렌은 “공급망 공격은 알려진 취약점에 대한 공격보다 훨씬 드물다”면서, “패치되지 않은 취약점이나 크게 구현되지 않은 보안 업데이트의 위험이 공급망 공격의 위험보다 훨씬 크다”라고 경고했다. IBM의 2020년 데이터 침해 비용 보고서에 따르면, 서드파티 소프트웨어의 취약점은 모든 침해사고 원인의 16%였다. 

오렌은 공급업체가 패치를 지연시키는 대신, 소프트웨어 해킹으로부터 보호하기 위해 '그들의 보안 태세는 어떠한지', '현재 어떤 종류의 코드 검증 체계를 구축하고 있는지' 물어보라고 제안했다. 
 
안타깝게도 소프트웨어 개발 프로세스의 보안을 구체적으로 설명하는 일련의 표준은 없다. 오렌은 "해당 코드가 안전하다고 검증해 줄 것은 아무 것도 없다"라고 말했다.  

이런 문제를 해결하기 위해 노력하는 단체에는 기술 표준 기구인 OMG(Object Management Group) 산하 특별 이익단체 CISQ(Consortium for Information and Software Quality)가 있다. 예를 들어, 기업에서 작업중인 표준 가운데 하나는 BOM(Bill Of Materials)에 해당하는 소프트웨어다. 이를 통해 기업 고객은 사용중인 소프트웨어에 들어가는 구성 요소와 이런 구성 요소에 알려진 보안 문제가 있는지 여부를 알 수 있다. 

CISQ 전무 이사 빌 커티스는 “현재 진행 중이며, 올해 봄에 완료될 것이라고 예상한다”라며, “마이크로소프트가 리눅스 재단과 다른 주요 30여 개의 기업과 함께 참여하고 있다”라고 말했다.  


공급망 위험 평가의 격차 

뢰브앤뢰브(Loeb & Loeb)의 개인정보보호, 보안 및 데이터 혁신 부문 공동 대표인 유안 졸리는 "기업이 공급업체와 협상할 수 있는 계약보다 중요한 것이 제대로 된 '상당한 주의(due diligence)'다. 공급업체가 침해사고로 폐업할 경우, 고객은 손해를 복구할 수 없다. 만약 피해를 복구하더라도 기업이 입은 평판 비용에 대해서는 적절한 구제책이 될 수 없을 것이다”라고 말했다.  

마스터카드의 리스크리콘(RiskRecon)과 사이엔시아 인스티튜트(Cyentia Institute)에서 최근 위험 관리 전문가를 대상으로 실시한 설문조사에 따르면, 현재 79%의 기업이 서드파티 위험을 관리하기 위한 공식 프로그램을 갖추고 있다. 가장 일반적인 위험 평가 방법은 기업의 84%가 설문지, 69%가 문서 검토였다. 절반의 기업이 원격 평가를 하고, 42%는 사이버보안 등급을 사용하며, 34%는 현장 보안 평가를 실시한다. 

설문지의 인기에도 불구하고, 위험 전문가의 34%만이 공급업체의 응답을 믿는다고 답했다. 그러나 문제가 발견되어도 81%의 기업이 교정을 요구하지 않으며, 공급업체가 자사의 보안 요구사항을 충족하고 있다고 확신하는 기업은 14%에 불과했다. 

리스크리콘 CEO 켈리 화이트는 “특히 솔라윈즈 공격 이후 기관과 기업은 소프트웨어 공급업체, 특히 기업 자사에 대한 접근 권한이 있는 소프트웨어를 보유한 공급업체를 살펴봐야 한다”라고 경고했다. 여기에는 악성코드를 방지하기 위해 소프트웨어 개발 프로세스의 무결성을 포함하도록 평가 기준을 확대하는 것도 포함된다. 

화이트는 “또한 지금은 최소한의 특권도 축소해야 할 때다. 대규모 금융업체에서 CISO로 근무하는 동안 인터넷과 통신하는 모든 소프트웨어는 웹 접근 권한이 사전에 결정된 업데이트 사이트에만 접근하도록 제한했다”라고 말했다. 화이트는 자이언스 뱅코프(Zions Ban Corporation)의 CISO였다. 

화이트는 "이런 정책은 소프트웨어가 악의적인 명령 및 제어 서버와 통신하는 것을 방지할 뿐만 아니라 통신하려고 할 때 경고를 울리는 이점도 있다"라고 설명했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.