2020.12.22

솔라윈즈와 같은 국가 주도 공격 위협에 대비하는 방법

Cynthia Brumfield | CSO
솔라윈즈와 같은 국가 차원의 공급망 공격 위협으로부터 위험을 최소화할 수 있다. 지금까지 전문가들의 최고의 조언을 모아봤다. 
 
ⓒ Getty Images Bank

솔라윈즈의 인기있는 오리온(Orion) 네트워크 관리 소프트웨어에 악성코드를 삽입함으로써 미 연방정부와 주요 기업들은 지난주부터 미 역사상 가장 치명적인 침해사고가 될 수 있는 사항을 조사하고 이를 완화시키기 위해 노력해왔다. 이번 공급망 공격의 첫 번째 공개 피해자인 사이버보안업체 파이어아이가 선버스트(SUNBURST)라고 명명한 이 악성코드는 파일 전송 및 실행, 시스템 프로파일링, 시스템 재부팅 및 시스템 서비스 비활성화가 가능한 백도어다.
 
로이터는 공격자가 선버스트를 사용해 미 재무부와 상무부의 이메일을 모니터링했다고 보도했다. 다른 소식통에 따르면, 이 공격자는 러시아 SVR 정보기관이 운영하는 코지 베어(Cozy Bear) 해킹 그룹 또는 APT 29라고 설명했다. 후속 언론 보도에 따르면, 미 연방정보 전반에 걸친 악성코드 감염은 광범위할 수 있으며, 미 국무성, 국립 보건원, 국토안보부(DHS), 국방부 일부를 포함할 수 있다. 
   
전 DHS CISA(Cybersecurity and Infrastructure Security Agency) 책임자인 크리스 크렙은 이번 침입에 대한 소식이 전해진 후, 트위터에서 “아직 이르다”라고 말했다. 이는 해킹의 실제 범위가 알려지기까지는 수개월, 혹은 수년이 걸릴 수도 있음을 의미한다. 솔라윈즈는 30만의 고객 가운데 최대 1만 8,000곳이 이 감염된 업데이트를 다운로드 받았다고 밝혔지만, 이것이 공격자가 감염된 기관과 기업을 모두 침입했다는 의미는 아니다. 

CISA는 모든 연방기관에 ‘타협 지표가 있는지 네트워크를 검사하고 솔라윈즈 오리온 제품의 전원을 즉시 차단하라’는 긴급 지시를 내렸다. FBI와 CISA, 국가정보국(Office of the Director of National Intelligence , ODNI)은 이날 공동성명을 내고 FBI의 지시에 따라 범정부적 대응을 위해 사이버 통합조정 그룹(Cyber Unified Coordination Group, UCG)를 설립했음을 인정했다. 

12월 17일 CISA는 위협 행위자의 전술과 기술을 자세히 설명하는 경보를 발령했다. 또한 오리온 제품을 사용하는 기관과 기업이 네트워크의 위험을 완화하기 위해 취해야 할 단계를 제공했다. 이 경고에는 CISA가 솔라윈즈 오리온 플랫폼 이외에 추가적으로 초기 접근 벡터의 증거를 조사하고 있다는 내용이 포함되어 있다. 


솔라윈즈 수준의 공격, 앞으로도 가능한가 

미 연방 정부와 기업이 피해 상황을 파악하고 완화하기 시작하면서, 이번 참사를 막기 위해 어떤 조치를 취할 수 있었는지 의문이 제기된다. 미 연방 정부 측에서 실패한 것으로 보이는 것은 CISA가 운영하고 정부 네트워크에 악성코드를 탐지하도록 설계된 수십억 달러 규모의 탐지 시스템인 아인슈타인(Einstein)의 업데이트가 지연되고 있다는 점이다. 미국 회계 감사원(Government Accountability Office, GAO)의 2018년 권고안은 이전에 선버스트를 탐지하는 데 도움이 되었을 수 있는 새로운 기능을 시스템에 추가할 것을 요구했다.
  
사이버위협 대응 연합(Cyber Threat Alliance, CTA) 회장이자 오바마 대통령의 사이버보안 코디네이터인 마이클 다니엘은 “100% 보장으로 이와 같은 일을 방지할 수 있는 방법은 없다. 나는 대통령에게 사이버보안 문제를 해결하겠다고 약속하거나 100%를 보장하는 사람이 있다면, 그는 바보이거나 거짓말을 하는 것이기 때문에 기꺼이 버려야한다고 여러 차례 충고했다”라고 말했다. 특히, 인내심을 갖고 많은 자원을 기꺼이 투입하는 국가 혹은 국가의 지원을 받는 적에 대해서는 100% 보안을 달성할 수 없다. 

트러스티드섹(TrustedSec) 공동 창립자 데이브 케네디는 "솔라윈즈는 이미 신뢰할 수 있는 서드파티 소프트웨어 공급업체이며, 코드 서명과 같은 관행을 사용하고 있기 때문에 이런 유형의 공격은 일반적으로 보호하기가 매우 어렵다. 대부분의 기관과 기업은 서드파티 소프트웨어를 신뢰할 수 있는 개체로 다루며, 위험 측면에서 가능성은 항상 전반적으로 낮게 인식됐다"라고 설명했다. 

이와 같은 심각한 공격을 예방하고 탐지하는 데 어려움이 있음에도 불구하고 전문가들은 기업들이 이런 공격으로 인한 위험을 최소화하기 위해 더 많은 것을 할 수 있다고 주장한다. 전문가가 주장하는 위험을 최소화하는 방법은 다음과 같다.  

- 행동 기반 탐지 
케네디는 비정상적인 서버 활동에 대한 행동 기반 탐지(behavioral-based detection) 모니터링을 통해 악성코드를 더 일찍 탐지할 수 있다고 말했다. 케네디는 “선버스트의 경우, 서버는 DNS 확인을 통해 이전에는 없었던 도메인으로 신호를 보내기 시작했다. 이런 유형의 편차를 식별하고 조사해야 한다. 솔라윈즈 관점에서 이것은 훨씬 더 일찍 확인됐어야 했다”라고 말했다. 

- 기본적인 사이버보안 위생에 대한 헌신 
다니엘은 “기본 사항에 따라, 예를 들어 네트워크를 적절히 분할하고 최소한의 권한을 사용토록 하는 것이다. 이런 식으로 상대가 공급망에 진입하더라도 네트워크에 접속해 이동하기가 더 어려워지도록 여러 종류의 트립와이어(Tripwires)를 설치해야 한다”라고 의견을 제시했다.

케네디도 이에 동의했다. “네트워크 분리 및 접근 제어는 데이터 암호화와 백업과 마찬가지로 강력한 네트워크 모니터링만큼 중요하다. 네트워크를 감사하고 책임을 평가하고 만일의 사태에 대비한 계획을 수립하고, 정기적으로 네트워크 테스트를 실시하는 것도 중요하다”라고 부연했다.
 
- 적절한 공급망 위험 관리 
GAO가 최근 발표한 보고서에 따르면, 솔라윈즈 침해사건이 공급망 공격이든 아니든 미래에 이런 유형의 위협을 최소화하기 위한 한 가지 해결책은 적절한 공급망 위험 관리라는 것이 분명하다. GAO가 검토한 23개 민간 기관 가운데 국립표준기술연구소(National Institutes of Standards and Technology, NIST)에서 권장하는 정보 및 통신기술 공급망 위험 관리를 위해 선택한 7가지 기본 관행을 이행한 기관은 거의 없었다. 공급망 위험 관리의 약점으로 인해 기관들은 공격자들이 ICT 공급망 취약점을 악용할 수 있는 더 큰 위험에 처해 있다.

미 연방정부가 앞으로 어떻게 할지에 대해 다니엘은 “그들은 정화 작업을 계속해야 할 것이다. 그들은 무슨 일이 일어났는지 파악하기 위해 피해 평가를 계속해야 한다. 여기서부터는 이런 기관에 돌아가서 사이버보안 관행을 살펴보는 것이 좋을 것이다”라고 전망했다. 

- 위협 모델에 공급망 공격 포함 
케네디는 “기관과 기업은 서드파티 공급망 공격과 전체 위협 모델에 대한 아키텍처, 인프라, 권한접근을 통합 설계해 소프트웨어 및 서비스에 대한 구획화를 보장하는데 주력해야 한다”라고 주장했다. 솔라윈즈 공격에 대한 완전한 파악은 기업이 위협 모델에 대한 위험을 적절하게 평가하는 데 도움이 되지만 바로 그렇게 되지는 않을 것이다”라고 말했다. 

대부분의 사이버보안 전문가는 무슨 일이 일어났는지에 대해 불명확한 견해를 가지고 있다. 케네디는 “가장 우려스러운 점은 공격자가 감염 초기 단계 이후에 어떤 다른 유형의 악성코드를 설치했는지 아직 알지 못한다는 것이다. 맞춤형 도구이거나 제로데이라면, 이를 제어하는 데 더 오랜 시간이 걸릴 수 있다”라고 경고했다. editor@itworld.co.kr


2020.12.22

솔라윈즈와 같은 국가 주도 공격 위협에 대비하는 방법

Cynthia Brumfield | CSO
솔라윈즈와 같은 국가 차원의 공급망 공격 위협으로부터 위험을 최소화할 수 있다. 지금까지 전문가들의 최고의 조언을 모아봤다. 
 
ⓒ Getty Images Bank

솔라윈즈의 인기있는 오리온(Orion) 네트워크 관리 소프트웨어에 악성코드를 삽입함으로써 미 연방정부와 주요 기업들은 지난주부터 미 역사상 가장 치명적인 침해사고가 될 수 있는 사항을 조사하고 이를 완화시키기 위해 노력해왔다. 이번 공급망 공격의 첫 번째 공개 피해자인 사이버보안업체 파이어아이가 선버스트(SUNBURST)라고 명명한 이 악성코드는 파일 전송 및 실행, 시스템 프로파일링, 시스템 재부팅 및 시스템 서비스 비활성화가 가능한 백도어다.
 
로이터는 공격자가 선버스트를 사용해 미 재무부와 상무부의 이메일을 모니터링했다고 보도했다. 다른 소식통에 따르면, 이 공격자는 러시아 SVR 정보기관이 운영하는 코지 베어(Cozy Bear) 해킹 그룹 또는 APT 29라고 설명했다. 후속 언론 보도에 따르면, 미 연방정보 전반에 걸친 악성코드 감염은 광범위할 수 있으며, 미 국무성, 국립 보건원, 국토안보부(DHS), 국방부 일부를 포함할 수 있다. 
   
전 DHS CISA(Cybersecurity and Infrastructure Security Agency) 책임자인 크리스 크렙은 이번 침입에 대한 소식이 전해진 후, 트위터에서 “아직 이르다”라고 말했다. 이는 해킹의 실제 범위가 알려지기까지는 수개월, 혹은 수년이 걸릴 수도 있음을 의미한다. 솔라윈즈는 30만의 고객 가운데 최대 1만 8,000곳이 이 감염된 업데이트를 다운로드 받았다고 밝혔지만, 이것이 공격자가 감염된 기관과 기업을 모두 침입했다는 의미는 아니다. 

CISA는 모든 연방기관에 ‘타협 지표가 있는지 네트워크를 검사하고 솔라윈즈 오리온 제품의 전원을 즉시 차단하라’는 긴급 지시를 내렸다. FBI와 CISA, 국가정보국(Office of the Director of National Intelligence , ODNI)은 이날 공동성명을 내고 FBI의 지시에 따라 범정부적 대응을 위해 사이버 통합조정 그룹(Cyber Unified Coordination Group, UCG)를 설립했음을 인정했다. 

12월 17일 CISA는 위협 행위자의 전술과 기술을 자세히 설명하는 경보를 발령했다. 또한 오리온 제품을 사용하는 기관과 기업이 네트워크의 위험을 완화하기 위해 취해야 할 단계를 제공했다. 이 경고에는 CISA가 솔라윈즈 오리온 플랫폼 이외에 추가적으로 초기 접근 벡터의 증거를 조사하고 있다는 내용이 포함되어 있다. 


솔라윈즈 수준의 공격, 앞으로도 가능한가 

미 연방 정부와 기업이 피해 상황을 파악하고 완화하기 시작하면서, 이번 참사를 막기 위해 어떤 조치를 취할 수 있었는지 의문이 제기된다. 미 연방 정부 측에서 실패한 것으로 보이는 것은 CISA가 운영하고 정부 네트워크에 악성코드를 탐지하도록 설계된 수십억 달러 규모의 탐지 시스템인 아인슈타인(Einstein)의 업데이트가 지연되고 있다는 점이다. 미국 회계 감사원(Government Accountability Office, GAO)의 2018년 권고안은 이전에 선버스트를 탐지하는 데 도움이 되었을 수 있는 새로운 기능을 시스템에 추가할 것을 요구했다.
  
사이버위협 대응 연합(Cyber Threat Alliance, CTA) 회장이자 오바마 대통령의 사이버보안 코디네이터인 마이클 다니엘은 “100% 보장으로 이와 같은 일을 방지할 수 있는 방법은 없다. 나는 대통령에게 사이버보안 문제를 해결하겠다고 약속하거나 100%를 보장하는 사람이 있다면, 그는 바보이거나 거짓말을 하는 것이기 때문에 기꺼이 버려야한다고 여러 차례 충고했다”라고 말했다. 특히, 인내심을 갖고 많은 자원을 기꺼이 투입하는 국가 혹은 국가의 지원을 받는 적에 대해서는 100% 보안을 달성할 수 없다. 

트러스티드섹(TrustedSec) 공동 창립자 데이브 케네디는 "솔라윈즈는 이미 신뢰할 수 있는 서드파티 소프트웨어 공급업체이며, 코드 서명과 같은 관행을 사용하고 있기 때문에 이런 유형의 공격은 일반적으로 보호하기가 매우 어렵다. 대부분의 기관과 기업은 서드파티 소프트웨어를 신뢰할 수 있는 개체로 다루며, 위험 측면에서 가능성은 항상 전반적으로 낮게 인식됐다"라고 설명했다. 

이와 같은 심각한 공격을 예방하고 탐지하는 데 어려움이 있음에도 불구하고 전문가들은 기업들이 이런 공격으로 인한 위험을 최소화하기 위해 더 많은 것을 할 수 있다고 주장한다. 전문가가 주장하는 위험을 최소화하는 방법은 다음과 같다.  

- 행동 기반 탐지 
케네디는 비정상적인 서버 활동에 대한 행동 기반 탐지(behavioral-based detection) 모니터링을 통해 악성코드를 더 일찍 탐지할 수 있다고 말했다. 케네디는 “선버스트의 경우, 서버는 DNS 확인을 통해 이전에는 없었던 도메인으로 신호를 보내기 시작했다. 이런 유형의 편차를 식별하고 조사해야 한다. 솔라윈즈 관점에서 이것은 훨씬 더 일찍 확인됐어야 했다”라고 말했다. 

- 기본적인 사이버보안 위생에 대한 헌신 
다니엘은 “기본 사항에 따라, 예를 들어 네트워크를 적절히 분할하고 최소한의 권한을 사용토록 하는 것이다. 이런 식으로 상대가 공급망에 진입하더라도 네트워크에 접속해 이동하기가 더 어려워지도록 여러 종류의 트립와이어(Tripwires)를 설치해야 한다”라고 의견을 제시했다.

케네디도 이에 동의했다. “네트워크 분리 및 접근 제어는 데이터 암호화와 백업과 마찬가지로 강력한 네트워크 모니터링만큼 중요하다. 네트워크를 감사하고 책임을 평가하고 만일의 사태에 대비한 계획을 수립하고, 정기적으로 네트워크 테스트를 실시하는 것도 중요하다”라고 부연했다.
 
- 적절한 공급망 위험 관리 
GAO가 최근 발표한 보고서에 따르면, 솔라윈즈 침해사건이 공급망 공격이든 아니든 미래에 이런 유형의 위협을 최소화하기 위한 한 가지 해결책은 적절한 공급망 위험 관리라는 것이 분명하다. GAO가 검토한 23개 민간 기관 가운데 국립표준기술연구소(National Institutes of Standards and Technology, NIST)에서 권장하는 정보 및 통신기술 공급망 위험 관리를 위해 선택한 7가지 기본 관행을 이행한 기관은 거의 없었다. 공급망 위험 관리의 약점으로 인해 기관들은 공격자들이 ICT 공급망 취약점을 악용할 수 있는 더 큰 위험에 처해 있다.

미 연방정부가 앞으로 어떻게 할지에 대해 다니엘은 “그들은 정화 작업을 계속해야 할 것이다. 그들은 무슨 일이 일어났는지 파악하기 위해 피해 평가를 계속해야 한다. 여기서부터는 이런 기관에 돌아가서 사이버보안 관행을 살펴보는 것이 좋을 것이다”라고 전망했다. 

- 위협 모델에 공급망 공격 포함 
케네디는 “기관과 기업은 서드파티 공급망 공격과 전체 위협 모델에 대한 아키텍처, 인프라, 권한접근을 통합 설계해 소프트웨어 및 서비스에 대한 구획화를 보장하는데 주력해야 한다”라고 주장했다. 솔라윈즈 공격에 대한 완전한 파악은 기업이 위협 모델에 대한 위험을 적절하게 평가하는 데 도움이 되지만 바로 그렇게 되지는 않을 것이다”라고 말했다. 

대부분의 사이버보안 전문가는 무슨 일이 일어났는지에 대해 불명확한 견해를 가지고 있다. 케네디는 “가장 우려스러운 점은 공격자가 감염 초기 단계 이후에 어떤 다른 유형의 악성코드를 설치했는지 아직 알지 못한다는 것이다. 맞춤형 도구이거나 제로데이라면, 이를 제어하는 데 더 오랜 시간이 걸릴 수 있다”라고 경고했다. editor@itworld.co.kr


X