Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

공급망공격

“공급망 공격, 올해 600% 이상 폭증”했지만…기업 68% “보안 문제없다”

대부분 기업은 알려진 취약점이 있는 오픈소스 소프트웨어 라이브러리를 사용하지 않는다고 답했지만, 새로운 연구에 따르면 엔터프라이즈 애플리케이션 68%에서 취약점이 발견되었다.   소프트웨어 및 서비스 제공업체 구성 요소를 통한 공급망 공격의 수는 지난 1년 동안 633%나 증가했다. 소프트웨어 공급망 관리 업 소나타입의 새로운 보고서에 따르면 지금까지 총 88,000건 이상의 사례가 보고되었다고 한다. 한편, 소프트웨어 구성 요소가 자체 종속성에서 상속하는 전이적 취약성 사례도 전례 없는 수준에 도달하여 오픈소스 라이브러리의 3분의 2가 취약점에 노출되어 있다는 점이 드러났다.     소나타입은 새로 발표된 소프트웨어 공급망 상태 보고서에서 "의존성의 네트워크 특성은 이러한 복잡한 공급망에 대한 가시성과 인식을 갖는 것의 중요성을 강조한다"라고 말했다. "이러한 의존성은 소프트웨어에 영향을 미치기 때문에 이러한 의존성의 기원을 이해하는 것이 취약성 대응에 매우 중요한다. 많은 조직이 필요한 가시성을 갖추지 못했으며, 그 결과 2022년 여름 이후 Log4Shell에 대한 사고 대응 절차를 계속했다." Log4Shell은 로깅에 사용되며 수백만 개의 엔터프라이즈 응용 프로그램과 소프트웨어 제품에 번들되어 널리 사용되는 오픈 소스 Java 라이브러리인 Log4j에서 2021년 11월에 발견된 심각한 취약성이다. Log4Shell은 종종 간접 종속성으로 사용됩니다. 소나타입의 모니터링에 따르면, 2022년 8월 현재 Log4j의 고정 버전 채택률은 약 65%에 달한다. 게다가 이는 Log4Shell 취약성이 Log4j-core의 일부인 JndiManager라는 Java 클래스에서 발생한다는 점도 포함하지 않은 것이다. JndiManager는 783개의 다른 프로젝트에서도 차용되었으며 현재 19,000개 이상의 소프트웨어 구성 요소에서 발견된다.   오픈소스 수요는 끊임없이 상승 중  Maven Central...

공급망공격 소프트웨어공급망공격 타이포스쿼팅 2022.10.24

sw 개발자가 공급망 보안에서 던져야 할 질문 "너무 많이 신뢰하지는 않는가?"

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

Log4j 소프트웨어빌드환경 프로덕션환경 2022.07.14

데브옵스 파이프라인이 공격을 받는 이유와 대처 방안

2017년 중반, 러시아 정부의 지원을 받은 것으로 알려진 사이버 공격자가 우크라이나의 금융 소프트웨어 패키지에 낫페트야(NotPetya)라는 악성코드를 설치했다. 해당 소프트웨어를 사용하던 많은 기업이 업데이트를 통해 악성코드에 감염됐다. 낫페트야는 빠르게 확산했고 전 세계적으로 수십억 달러의 피해를 입혔다. 백악관은 낫페트야가 ‘역사상 가장 파괴적이고 비용이 많이 발생한 사이버 공격’이라고 말했다. 2020년, 러시아와 연관된 공격자들이 기업용 소프트웨어인 솔라윈즈(SolarWinds)의 오리온(Orion) 네트워크 모니터링 툴셋의 업그레이드 프로세스를 탈취했다. 솔라윈즈 사건의 영향도 광범위했다. 사이버보안 자문업체 NCC 그룹(NCC Group)의 수석 보안 컨설턴트 빅터 가즈닥은 “소프트웨어 개발 파이프라인에 액세스하면 네트워킹 인프라에 접근해 지적재산에 액세스할 수 있다”라고 말했다.    증가하는 데브옵스 파이프라인 공격 데브옵스 파이프라인 공격은 고립돼 있으며 숙련도가 높고 의욕적인 공격자에게 의존한다고 볼 수 있다. 사실, 데브옵스 파이프라인은 국가 차원의 공격자뿐 아니라 범죄집단에도 인기 있는 표적이 됐다. 보안업체 아쿠아 시큐리티(Aqua Security) 산하의 공급망 보안업체 아르곤(Argon)의 최근 보고서에 따르면, 2021년 소프트웨어 공급망 공격은 2020년보다 300% 이상 증가했다. 공급망 공격은 일반적으로 인기 오픈소스 패키지에 악성코드 주입, 이미 존재하는 취약점 악용, CI/CD 파이프라인 도구 해킹, 하드코드 자격증명 및 기타 잘못된 구성과 보안 문제 활용 같은 방법을 사용한다. 오픈소스 구성요소 채널은 특히 인기가 있는 표적이었다. 오픈소스 개발 플랫폼 업체 소나타이프(Sonatype)가 2021년 9월 공개한 연구 결과에서는 오픈소스 소프트웨어 공급망 공격이 2020년보다 650% 증가했다. 공격 표면은 광범위하다. 3,700만 개 이상의 구성요소와 패키지가 상위 4개의 오픈소스 생태계에...

솔라윈즈 낫페트야 log4j 2022.02.25

글로벌 칼럼 | 2022년은 소프트웨어 공급망 보안의 해

2020년이 소비재 공급망의 존재를 체감한 해였다면, 2021년은 소프트웨어 공급망에 대한 인식이 높아진 해였다. 2021년 가장 악명 높았던 소프트웨어 공급망 공격은 솔라윈즈(SolarWinds)로, 여러 미국 정부 기관과 수많은 고객이 악성코드에 감염된 솔라윈즈의 소프트웨어 업데이트 파일을 다운로드했다.     솔라윈즈뿐만이 아니었다. 최근에는 Log4j 취약점으로 소프트웨어 공급망의 약점이 여실히 드러났다. Log4j가 광범위하게 사용되는 오픈소스 자바 로깅 프레임워크인 만큼 취약점은 데이터 스토리지 서비스부터 온라인 비디오 게임에 이르기까지 수많은 애플리케이션을 위험에 빠뜨렸다. 프로덕션 단계에는 약식으로 유지 보수되는 코드가 많기 때문에 소프트웨어 공급망은 Log4j 취약점 같은 익스플로잇이 활동하기 좋은 환경이다. 여러 개발자가 약식으로 유지 보수되는 소프트웨어 라이브러리를 프로덕션에 투입하고, 이후에는 패치하지 않는다. 이런 문제는 현재 오픈소스에서 활발하게 논의하는 주제이기도 하다.  따라서 필자는 2022년을 소프트웨어 공급망 보안의 해로 선언한다. 선언으로 끝이 아니다. 2022년 기업이 소프트웨어 공급망 공격에 대한 방어력을 강화함에 따라 중요성이 높아질 것으로 예상되는 3가지 추세를 소개한다. 1. 디스트로리스의 확대 2022년부터 기업은 배포판 요소를 포함해 컨테이너 이미지를 신중하게 간소화하고 표준화하는 방법을 고민해야 한다. 아예 ‘디스트로리스(distroless)’를 추구해야 한다는 주장까지 있다.  디스트로리스 모델에서 애플리케이션은 여전히 컨테이너 이미지로 패키징되지만, 운영체제는 최소한의 흔적만 남는다. 패키지 관리자와 라이브러리, 셸을 제거해 운영체제의 최대한 많은 부분을 걷어 냄으로써 공격 표면을 줄이는 개념이다.  그러나 중요한 것은 서버리스 컴퓨팅에도 서버가 있듯이 디스트로리스 컴퓨팅에도 배포판은 존재한다는 것이다. 다만 적어질 뿐이다. 어쩌면 이것이 디스트로리스 ...

솔라윈즈 커세어 공급망공격 2022.01.06

카세야 랜섬웨어 공격, '뜨거웠던 7월'의 타임라인 정리

2021년 7월, 미국의 소프트웨어 제공업체 카세야(Kaseya)에 대한 악명 높은 러시아와 관련된 랜섬웨어 그룹 레빌(REvil)의 공격으로 최대 2,000개의 기관과 기업이 영향을 받은 것으로 추정된다. 레빌은 카세야의 원격 컴퓨터 관리 도구의 취약점(CVE-2021-30116)을 이용해 공격을 감행했고 그 여파가 몇 주 동안 지속되면서 해당 사건에 대한 정보가 점차 공개되고 있다.   이 사건은 소프트웨어 공급망과 정교한 랜섬웨어 그룹에 의한 위협을 다시금 상기시켰다. 다음은 카세야의 사건 업데이트 페이지와 기타 출처를 바탕으로 해당 공격의 타임라인과 영향을 받은 피해자들에 대한 기록이다.  카세야 레빌 랜섬웨어 공격 타임라인 - 7월 2일 금요일: 카세야의 사건 대응팀은 원격 컴퓨터 관리 도구인 카세야 VSA(Kaseya VSA)와 관련된 잠재적인 보안 이벤트를 탐지했다.  이 조사를 통해 카세야는 모든 온프레미스 고객에게 추가적인 공지가 있을 때까지 VSA 서버를 셧다운하도록 조언했으며 예비 조치로써 SaaS 서버도 셧다운했다. 카세야의 내부팀은 보안 전문가들과 함께 문제의 원인을 파악하고 FBI와 CISA 등의 시행 및 정부 사이버보안 기관에 알렸다. 카세야는 조기 지표를 통해 소수(40곳)의 온프레미스 카세야 고객만이 영향을 받았음을 확인했으며 취약점의 출처를 알아냈다고 밝혔다. 미 동부시간으로 오후 10시 패치가 준비되고 있었다. - 7월 3일 토요일: 카세야가 사이버 공격을 받았다고 밝혔다.  카세야는 계속해서 온프레미스 고객들에게 패치가 공개될 때까지 VSA 서버를 오프라인 상태로 유지하도록 강력히 권고했다. 또한 랜섬웨어 공격자들로부터 메시지를 받은 고객이 어떤 링크도 클릭하지 않도록 조언했다. 카세야는 VSA 고객이 시스템의 상태를 평가하는 데 도움이 되는 해킹 탐지 도구를 만들고 있다고 발표했다. 카세야는 지속적으로 영향을 받은 사용자에게 연락하고 다음 날 CEO 프레드 보콜라가 사건에 대한 인...

랜섬웨어 카세야 레빌 2021.08.05

"사례로 본" 보편적인 공급망 공격 유형 6가지

요즈음 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하기는 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 것은 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사한다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한...

공급망공격 코드코브 솔라윈즈 2021.06.03

SolarWinds 원점추적: 우리는 앞서 가고 있는가?

최근 SolarWinds Orion 플랫폼에서 악성 백도어를 통해 6개 이상의 정부기관과 아직 알려지지 않은 여러 조직들을 대상으로 한 광범위한 침입 캠페인이 발생했다. 현재 이 공격의 배후로 러시아가 지목되고 있지만, 이러한 주장에 대한 공개 증거는 현재 부족한 상황이다. 정확한 정보 분석을 위해서는 편견이 배제되어야 한다. 편견은 정책의 실수로 이어질 수 있다. 명백한 증거 없이 상대적 대응(또는 때로는 불균형 대응)에 대한 정책을 논의하는 것은 위험할 수 있다. 우리는 원점추적(attribution)과 공격자 매핑(adversary mapping)에 초점을 맞추기 위해 기존 기술을 사용하여 분석에 접근했다. 공격자의 동기와 의도에 대한 인사이트를 제공하기 위해 ITRE ATT&CK 기술 매핑, 피해 대상 조사, 시간적 징후, 히스토릭 지표의 사용을 포함한 방법론을 따랐다. 우리의 목표는 이 공격의 주체를 확정하는 것이 아니라 정보 분석을 통해 기존 데이터를 검토하고 공격자 추적에 대한 논의에 기여하는 것이다. <17p> 주요 내용 - ATT&CK 기술 분석 : 피해대상, 시간, 이력 - 행위자가 다수일 가능성 - 부록 : 주요 공격기술과의 비교

솔라윈즈 공급망공격 백도어 2021.06.01

“누가, 언제, 무엇을 해킹했는가” 솔라윈즈 공급망 공격 타임라인

2020년 솔라윈즈(SolarWinds) 공격에 대한 세부 사항은 계속 전개되고 있으며, 최종 피해가 집계되기까지는 몇 년이 걸릴 수 있다.   리서치 조사기관인 옴디아(Omdia) 보안 운영 수석 분석가 에릭 파리조는 “솔라윈즈 소프트웨어 공급망 해킹이 사상 최대의 피해를 가져온 사이버 공격이라고 말하기 어렵지만 공급망이 상당한 위험을 내포하고 있다는 보안업계의 잦은 경고에도 불구하고 많은 사람의 허를 찔렀다”라고 말했다.  솔라윈즈 공격은 중대한 물리적 결과를 초래할 수 있는 전례가 없는 사항이다. 위험 관리 및 산업 엔지니어링 전문가이자 리치먼드대 경영학과 교수 시탈 테크디는 “이 공격은 주요 인프라 제공업체에 영향을 미쳐 잠재적으로 에너지 및 제조 역량에 영향을 미칠 가능성이 있으며, 심각한 피해를 초래할 수 있는 중차대한 사건으로 취급해야 한다”라고 말했다.  현재까지 솔라윈즈 해킹과 관련된 사건들이 어떻게 전개되어 왔는지에 대한 타임 라인은 다음과 같다.    2020년 12월 8일, 공격은 어떻게 발견됐는가 사이버보안 업체인 파이어아이(FireEye)는 그들이 국가주도 공격에 피해를 입었다고 발표했다. 파이어아이 보안팀은 침투테스트에서 윤리적 해커가 사용하는 애플리케이션이 포함된 레드팀 툴킷을 도난당했다고 보고했다.     2020년 12월 13일. 선버스트, 초기 탐지 파이어아이는 자체 레드팀 툴킷에 대한 국가주도 공격을 조사하는 과정에서 공급망 공격을 발견했다. 연구진은 공격자가 솔라윈즈 소프트웨어인 솔라윈즈 오리온 비즈니스 소프트웨어 업데이트를 트로이목마화해 악성코드를 유포하는 백도어에 진입했다는 증거를 우연히 발견했다. 파이어아이는 이를 선버스트(SUNBURST)라고 명명했다.  2020년 12월 13일. CISA, 긴급 지침 발행  미국 CISA(Cybersecurity and Infrastructure Security Agency)는 영...

솔라윈즈 오리온 공급망공격 2021.04.07

PHP 백도어 공격에서 드러난 오픈소스의 허점, 효과적인 코드 검증이 필요하다

정체 불명의 공격자들이 PHP 프로젝트 중앙 코드 리포지토리에 침입, 인터넷의 웹사이트 대부분을 구동하는 런타임에 백도어를 집어넣을 목적으로 악성코드를 추가하는 사건이 발생했다. 공격 집단은 2명의 유명한 PHP 개발자를 가장했지만 코드 커밋(commit) 자체가 그다지 은밀하지는 않아서 몇 시간 만에 다른 개발자의 리뷰를 통해 발각됐다.   다행히 백도어가 소프트웨어 제품의 정식 릴리스에 진입해 일반 사용자에게도 배포된 최근 솔라윈즈(SolarWinds) 침해나 다른 공급망 공격과 같은 광범위한 영향은 없었다. 그러나 사고는 PHP를 유지하는 조직인 PHP 그룹(PHP Group)이 코드 인프라의 운영 방식을 재검토하는 계기가 됐다. 오픈소스 코드는 주요 인터넷 서비스의 중심에 위치하며 현대 애플리케이션 코드베이스의 대부분을 차지한다. 자원 봉사자에 의해 제한적인 리소스로 운영되는 경우가 많은 오픈소스 프로젝트를 대상으로 한 공급망 공격의 수는 지난 몇 년 동안 가파르게 증가했다. 또한 전문가들은 방어가 어려운 만큼 공격자 사이에서 공급망 공격 벡터의 인기가 앞으로 더 높아질 것으로 예상하고 있다. PHP 리포지토리에 무슨 일이 최근 PHP 창안자이자 코어 개발자인 라스무스 러도프의 이름으로 git.php.net의 php-src 리포지토리에 "[skip-ci] Fix typo"라는 이름의 코드 커밋이 푸시됐다. 2시간 후 다른 PHP 기여자가 코드에 오타가 있다는 코멘트를 남겼고, 이후 다른 개발자가 코드의 역할이 무엇인지를 물었다. 이 질문은 보안 전문가인 한 개발자의 관심을 끌었다. 개발자는 '문자열이 'zerodium'으로 시작하는 경우 useragent HTTP 헤더 내에서 PHP 코드를 실행하는 코드'라고 답을 남겼다. 기본적으로 이 코드는 백도어(backdoor)였다. 공격자가 HTTP 헤더에 특정 문자열이 포함된 요청을 보내는 간단한 방법으로 실행이 가능하며, 그러면 감염된 이 PHP 버전을 실행하는 모든 웹 서버에서 임의의 코...

PHP 공급망공격 2021.04.07

글로벌 칼럼 | 솔라윈즈 해킹, 마이크로소프트도 책임 있는가

지난 몇 년 동안 마이크로소프트는 정부와 외국 해커 집단과의 싸움 전면에 나서 러시아와 연결된 해커의 수많은 공격을 막는 데 일조했다. 마이크로소프트는 미국 NSA가 소프트웨어와 하드웨어의 취약점을 관련 업체가 고칠 수 있도록 하지 않고 쌓아 두고만 있어 악용될 위험이 크다고 공개적으로 비난했으며, 제네바 회의에서 사이버 공격을 막기 위한 국제 협약을 제안하기도 했다.   하지만 지금 마이크로소프트는 미 연방정부와 산업계에 대한 솔라윈즈 공격의 피해를 더 키웠다는 비난을 받고 있다. 과연 마이크로소프트가 의도치 않게 사이버 공격을 부추겼는가? 이에 대한 해답을 얻기 위해서는 우선 솔라윈즈 공격을 자세히 살펴봐야 한다.   솔라윈즈 공격의 내부 현재 솔라윈즈는 미 연방 정부와 산업계에 대한 가장 정교하고 성공적이며 위험한 사이버 공격으로 인식되고 있다. 미 연방 정부 기관 중 최소한 9곳과 인텔, 시스코, VM웨어, 엔비디아 같은 내로라하는 IT 업체 100곳이 해킹을 당했으며, 조사가 진행되면서 이 숫자는 더 늘어날 것으로 보인다.  아직은 정확하게 어떤 정보가 도난당했으며, 도난당한 정보가 어떻게 사용됐는지 확실하지 않다. 또한 공격자가 여전히 미 연방정부기관과 기업에 대한 액세스를 유지하고 있는지도, 나중에 이용하기 위해 더 많은 악성코드를 심어 놓았는지도 알 수 없다.  하지만 이 공격이 어떻게 이루어졌는지는 알고 있다. 솔라윈즈 해킹은 ATP29 또는 코지 베어(Cozy Bear)란 러시아 해킹 그룹이 실행했는데, 러시아 정보 기관의 일부인 것으로 알려져 있다. 이들은 솔라윈즈란 회사를 해킹했는데, 이 회사는 인기 있는 네트워크 및 애플리케이션 모니터링 플랫폼인 오리온(Orion)을 개발하는 곳이다. 공급망 공격이란 기법을 이용해 악성 코드를 오리온의 업데이트 패치에 삽입했고, 오리온 소프트웨어를 업데이트한 기업이나 정부기관이 감염된 것이다. 1만 8,000곳 이상의 기업과 정부기관이 문제의 패치를 설치했고,...

솔라윈즈 러시아 SAML 2021.03.25

공급망 공격에 대처하는 보안 관리자를 위한 5가지 핵심 사항…솔라윈즈 미 상원 청문회

미국 상원 청문회에서 주요 보안업체 임원의 발언은 대부분의 기관과 기업이 공급망 공격에 얼마나 준비되지 않았는지를 보여준다. 이번 기사는 보안 관리자가 배워야 할 핵심 사항에 대해 정리했다.           파이어아이 CEO 케빈 맨디아는 최근 미국 상원 소위원회에서 솔라윈즈(SolarWinds) 공격에 대해 증언했다. 맨디아는 공격자가 파이어아이의 마이크로소프트 윈도우 ID 토큰 및 유효한 자격 증명을 어떻게 획득했는지를 설명했다. 파이어아이가 침입을 탐지할 수 있었던 이유는 공격자가 우연히 파이어아이가 사용하는 침입 테스트 도구를 목표로 삼았기 때문이다.    청문회를 떠나 공급망 공격과 관련해 보안 및 IT 관리자가 알아야 할 핵심 사항을 정리했다.  잠재적인 공급망 공격 피해자, 적절한 도구가 없다 마이크로소프트 최고법률책임자 브래드 스미스는 증언에서 공격자가 클라우드 서비스에 들어갈 때에만 유일하게 공격자의 행동을 보았다고 말했다. 공격자들은 온프레미스 컴퓨터로 들어갔기 때문에 마이크로소프트는 공격을 볼 수 없었다. 이는 마이크로소프트의 여러 보안 도구에 문제가 있음을 나타낸다. 온프레미스 컴퓨터에서도 사용할 수 있는 보안 도구는 마이크로소프트의 가장 비싼 E5 라이선스에 배치되어 있다. 마이크로소프트 고객이 마이크로소프트 디펜더 ATP(Advanced Threat Protection)를 사용하도록 설정했다면, 마이크로소프트는 이 핵심 데이터를 훨씬 더 일찍 확인했을 것이다.  스미스는 현대 기술의 필요성이 모든 기업이 노력해야 하는 핵심 과제라고 지적했다. 스미스는 클라우드로의 전환이 이런 유형의 공격으로부터 시스템과 서비스를 더욱 방어할 수 있게 해준다고 암시했다. 필자는 클라우드로 전환하는 것에 대해 스미스의 의견에 동의하지 않는다. 주요 보안 클라우드 서비스를 추가하는 것이 유일한 방법은 아니지만, 더 나은 정보를 얻을 수 있다. 필자는 마이크로소프트 디펜...

공급망공격 솔라윈즈 파이어아이 2021.03.22

'서드파티를 조심하라' 공급망 공격을 경계해야 하는 이유와 완화 방법

기업 보안의 취약한 연결 고리는 파트너 및 공급업체와 관련이 있을 수 있다. 공급망 위험을 이해하고 완화하는 방법에 대해 알아본다.    공급망 공격이란 공급망(supply chain) 또는 서드파티 공격이라 부르는 이 공격은 누군가가 시스템 및 데이터에 대한 접근 권한을 가진 외부 파트너 또는 공급업체를 통해 시스템에 침투할 때 발생한다. 지난 수년 동안 더 많은 공급업체와 서비스 제공업체가 그 어느 때보다 중요한 데이터를 취급하면서 일반적인 기업의 공격 표면이 크게 변했다.  새로운 유형의 공격, 위협에 대한 대중의 인식 증가, 규제 기관의 감독 강화로 인해 공급망 공격과 관련한 위험은 그 어느 때보다도 높아졌다. 한편 공격자는 더 많은 자원과 도구를 사용할 수 있어 완벽한 공격 형태를 만들어내는데, 최근의 솔라윈즈(SolarWinds) 공격이 대표적인 예다.  솔라윈즈 공격, 공급망 위험을 일깨워준다 네트워킹 도구 공급업체인 솔라윈즈의 최대 1만 8,000여 고객을 대상으로 한 공격 소식은 점점 더 악화되고 있다. 뉴욕타임스 보도에 따르면, 러시아에 의한 솔라윈즈 공격은 처음 보도된 것처럼 수십 개의 정부기관과 기업 네트워크에 침투했다. 이후 250개의 기관 및 기업이 피해를 입은 것으로 파악됐으며, 공격자는 여러 공급망 계층을 활용했다.  레비 스트라우스(Levi Strauss) 부 CISO 스티브 잘레브스키는 “이런 공격은 신뢰의 사슬을 파괴하는 것이며, 모든 서드파티 제품과 관련된 큰 문제”라며, “기업은 더이상 내부 공급망만을 고집할 수는 없다. 신뢰를 구축한 서드파티에 의존해야 하는데, 이를 위한 국내적, 국제적인 방법은 없다”라고 말했다.  기업이 외부 공급업체에 점점 더 의존하면서 문제는 갈수록 악화되고 있다. 잘레브스키는 “이제는 소프트웨어 산업의 전체 생태계를 살펴봐야 할 때다. 공급망 위협을 완전히 해결하려면 글로벌 PKI 시스템과 같은 국제적인 신뢰의 망이 필요하다. ...

서드파티 공급망공격 솔라윈즈 2021.02.09

토픽 브리핑 | "공급망 공격에 완전 무방비" 솔라윈즈 해킹 사건의 의미

2020년 12월부터 올해 초까지, 전 세계 보안 세계(특히 미국)를 떠들썩하게 만든 솔라윈즈 오리온(SolarWinds Orion) 해킹 사건을 솔로리게이트(Solorigate)라고 한다. 게이트란, 부정행위나 대형 사건이 사회에 커다란 파장을 일으킬 때 붙이는 접미어 같은 것이다. 그만큼 솔라윈즈 오리온 해킹 사건이 여타 다른 해킹이나 데이터 침해 사건보다 피해 범위가 넓고 심각하다는 것을 의미한다.   시작은 파이어아이(FireEye)였다. 12월 8일 사이버보안 업체 파이어아이가 자체 레드팀의 공격도구를 도난당했다는 사실을 발표하면서 해당 도구 자체를 모두 공개했다. 이때까지만 해도 보안 전문가들은 '파이어아이마저'라는 탄식과 '누구도 그들을 막을 수 없다'라는 교훈, 그리고 파이어아이의 신속한 대처에 찬사를 보냈다. 해킹당한 보안업체가 하나 더 늘었을 뿐이라며, 애써 충격을 완화하고자 했다.  '누구나 해킹당할 수 있다' 파이어아이 해킹 사고와 기업이 걱정해야 하는 것 하지만 파이어아이 해킹 사건은 시작에 불과했다. 침입 경로를 추적, 조사하면서 드러난 솔라윈즈 오리온(SolarWinds Orion)의 해킹 사건, 솔로리게이트가 열린 것이다.  파이어아이와 마이크로소프트의 보안 연구원은 "국가 주도의 정교한 공격자가 솔라윈즈의 오리온 네트워크 모니터링 및 관리 소프트웨어 업데이트에 트로이목마를 심어 다양한 정부, 공공 및 민간 네트워크에 접속할 수 있었다"라고 밝혔다. 파이어아이에 따르면, 이 공격 활동은 빠르면 2020년 봄부터 시작됐으며, 현재 진행 중이다. 한 마디로 공격자는 최소한 반년 이상 솔라윈즈 오리온을 사용하는 모든 기관과 기업에 침입할 수 있었다.  솔라윈즈는 30만의 고객 가운데 1만 8,000곳 미만이 트로이목마를 다운로드했다고 밝혔는데, 피해자는 북미, 유럽, 아시아, 중동의 여러 정부기관, 컨설팅, 기술, 통신, 석유 및 가스 업체 등이 포함된 것으로 알려졌다. 미...

공급망공격 솔라윈즈 솔로리게이트 2021.01.15

솔라윈즈와 같은 국가 주도 공격 위협에 대비하는 방법

솔라윈즈와 같은 국가 차원의 공급망 공격 위협으로부터 위험을 최소화할 수 있다. 지금까지 전문가들의 최고의 조언을 모아봤다.    솔라윈즈의 인기있는 오리온(Orion) 네트워크 관리 소프트웨어에 악성코드를 삽입함으로써 미 연방정부와 주요 기업들은 지난주부터 미 역사상 가장 치명적인 침해사고가 될 수 있는 사항을 조사하고 이를 완화시키기 위해 노력해왔다. 이번 공급망 공격의 첫 번째 공개 피해자인 사이버보안업체 파이어아이가 선버스트(SUNBURST)라고 명명한 이 악성코드는 파일 전송 및 실행, 시스템 프로파일링, 시스템 재부팅 및 시스템 서비스 비활성화가 가능한 백도어다.   로이터는 공격자가 선버스트를 사용해 미 재무부와 상무부의 이메일을 모니터링했다고 보도했다. 다른 소식통에 따르면, 이 공격자는 러시아 SVR 정보기관이 운영하는 코지 베어(Cozy Bear) 해킹 그룹 또는 APT 29라고 설명했다. 후속 언론 보도에 따르면, 미 연방정보 전반에 걸친 악성코드 감염은 광범위할 수 있으며, 미 국무성, 국립 보건원, 국토안보부(DHS), 국방부 일부를 포함할 수 있다.      전 DHS CISA(Cybersecurity and Infrastructure Security Agency) 책임자인 크리스 크렙은 이번 침입에 대한 소식이 전해진 후, 트위터에서 “아직 이르다”라고 말했다. 이는 해킹의 실제 범위가 알려지기까지는 수개월, 혹은 수년이 걸릴 수도 있음을 의미한다. 솔라윈즈는 30만의 고객 가운데 최대 1만 8,000곳이 이 감염된 업데이트를 다운로드 받았다고 밝혔지만, 이것이 공격자가 감염된 기관과 기업을 모두 침입했다는 의미는 아니다.  CISA는 모든 연방기관에 ‘타협 지표가 있는지 네트워크를 검사하고 솔라윈즈 오리온 제품의 전원을 즉시 차단하라’는 긴급 지시를 내렸다. FBI와 CISA, 국가정보국(Office of the Director of National Intellig...

솔라윈즈 공급망공격 오리온 2020.12.22

솔라윈즈 트로이목마, 핫 패치와 손상된 모든 장비 격리 필요

솔라윈즈(SolarWinds)는 오리온 네트워크 모니터링 플랫폼 업데이트 버전에 포함된 트로이목마(Trojan)에 감염된 기업 고객에게 마이크로소프트, 시스코 등이 참여하는 새로운 소프트웨어 릴리스로 업데이트할 것을 권장했다.    솔라윈즈 오리온 네트워크 모니터링 소프트웨어를 사용하는 기업은 트로이목마의 심각한 영향에서 벗어나기 위해서는 핫 패치 및 잠재적으로 영향을 받을 수 있는 리소스를 격리해야 한다.  최근 로이터가 보도하고 파이어아이와 마이크로소프트의 보안 연구원이 자세히 설명한 이 공급망 공격은 국가 후원의 정교한 공격자가 솔라윈즈의 오리온 네트워크 모니터링 및 관리 소프트웨어 업데이트에 트로이목마를 심어 다양한 정부, 공공 및 민간 네트워크에 접속할 수 있게 된 것이다. 파이어아이에 따르면, 이 캠페인은 빠르면 2020년 봄부터 시작됐으며, 현재 진행 중이다.  시스코의 보안연구부서인 탈로스(Talos)의 연구원은 “솔라윈즈는 30만 명의 고객 가운데 1만 8,000명 미만이 손상된 업데이트를 다운로드했음을 확인했다”라며, “하지만 이 캠페인의 효과는 엄청날 것으로 보인다. 이 업체의 제품이 여러 고부가가치 기업에서 사용되고 있기 때문이다. 파이어아이에 따르면, 피해 기업은 북미, 유럽, 아시아, 중동의 정부기관과 컨설팅, 기술, 통신, 석유 및 가스회사 등이다. 또한 여러 보고서에 따르면, 미 재무부와 상무부도 포함되어 있는 것으로 알려졌다.  이 공격에 대응해 솔라윈즈는 핫 패치를 연이어 발표했다. 추가 핫픽스 릴리스인 2020.2.1 HF2는 12월 15일 제공됐다. 솔라윈즈 측은 2020.2.1 HF2 릴리스는 해킹된 구성 요소를 대체하고 몇 가지 추가 보안 향상 기능을 제공하기 때문에 모든 기업 고객은 오리온 플랫폼 2020.2.1 HF2로 업데이트할 것을 권장했다. 솔라윈즈는 “우리는 자사의 모든 소프트웨어 제품의 코드를 스캔해 오리온 플랫폼 제품에 대한 공격에 사용된 것과 유사한 ...

솔라윈즈 트로이목마 공급망공격 2020.12.21

공급망 공격을 탐지하기 어려운 이유, 솔라윈즈 공격 사건이 보여준다

러시아의 코지 베어(Cozy Bear)라 여겨지는 공격 그룹은 솔라윈즈(SolarWinds)의 오리온(Orion) 소프트웨어의 해킹된 업데이트를 통해 정부 및 기업 시스템에 접근할 수 있었다. 대부분의 기관과 기업은 이런 유형의 소프트웨어 공급망 공격에 대비하지 못하고 있다.       최근 국가 후원의 공격자에 의한 주요 사이버보안업체 파이어아이 해킹 사건은 인기있는 네트워크 모니터링 제품에 대한 악의적인 업데이트를 통해 수행된, 주요 정부 기관과 기업에 영향을 미치는 훨씬 더 큰 공격의 일부였다. 이 사건은 소프트웨어 공급망 공격이 미치는 심각한 영향과 대부분의 기업이 이런 위협을 예방하고 탐지할 준비가 되어 있지 않다는 불행한 사실을 보여준다.     러시아 정부와 연계된 것으로 추정되는 이 공격 그룹은 지난 3월 시작된 장기 캠페인으로, 미국 재무부와 상무부 등 미국 정보 부처의 컴퓨터 시스템에 접속했다. 이 소식은 12월 12일 미국 국가 안정보장회의의 긴급회의를 촉발했다.    이 공격은 공격자가 오리온이라는 네트워크 및 애플리케이션 모니터링 플랫폼 개발업체인 솔라윈즈의 인프라를 해킹한 다음, 해당 접근 권한을 사용해 소프트웨어 사용자에게 트로이목마화 된 업데이트를 생성하고 배포한 것으로 보인다. 솔라윈즈는 뉴스가 나간 후, 웹 사이트에 있는 고객 명단 페이지를 삭제했다. 솔라윈즈의 주요 고객은 미국 포춘지 선정 500대 기업 가운데 425개, 미국 상위 10대 통신업체, 미국 상위 5대 회계 법인, 미군, 미 국방부 및 국무부, 전 세계 수백 개의 대학 등 총 1만 8,000여 곳이다.  솔라윈즈 소프트웨어 공급망 공격을 통해 공격자는 지난 주에 발표된 보안업체 파이어아이 네트워크에 접속할 수 있었다. 파이어아이 측은 공격자 집단의 이름을 특정하지 않았지만, 워싱턴포스트는 러시아의 외국 정보기관인 SVR의 해킹 부서인 코지 베어(Cozy Bear)라고 보도했다. ...

공급망공격 솔라윈즈 코지베어 2020.12.17

공급망 공격이란 무엇인가, 서드파티 제공업체를 경계해야 하는 이유

기업 보안의 취약점은 협력업체나 공급업체일 수 있다. 공급망 공격에 대한 위험을 이해하고 이를 완화하는 방법에 대해 알아보자.    공급망 공격이란  공급망 공격(value-chain attack) 또는 서드파티 공격(third party attack) 공격이라고 하는 공급망 공격은 자사의 시스템 및 데이터에 접속할 수 있는 외부 협력업체나 공급업체를 통해 누군가가 시스템에 침투할 때 발생한다. 지난 몇 년동안 더 많은 공급업체와 서비스 제공업체가 민감한 데이터를 접촉하면서 일반 기업의 공격 표면을 극적으로 변화시켰다. 새로운 유형의 공격, 위협에 대한 대중의 인식 증가, 규제 기관의 감독 증가로 인해 공급망 공격과 관련된 위험이 그 어느 때보다 높아졌다. 한편 공격자는 그 어느 때보다 많은 자원과 도구를 마음대로 사용할 수 있어 이른바 ‘퍼펙트 스톰(Perfect storm)’을 일으키고 있다.   대형 데이터 유출 사고의 시발점, 공급망    공급업체에 의해 야기된 주요 사이버 피해는 끝이 없다. 2014년 타겟(Target)의 데이터 유출 사건은 HVAC 공급업체의 허술한 보안으로 인해 발생했다. 에퀴팩스(Equifax)의 2017년 데이터 유출 사건은 사용중인 외부 소프트웨어의 결함으로 밝혔다가 이후 다른 공급업체 웹사이트의 악성 다운로드 링크에서 비롯됐다고 책임을 돌렸다.  그 다음으로는 주요 기업, 정치인, 유명인의 해외 조세 회피에 대해 자세히 설명하는 1,300만 이상의 파일인 파라다이스 페이퍼스(Paradise Papers)가 있었다. 이 자료의 출처는? 파나마 페이퍼스(Panama Papers)와 마찬가지로 가장 약한 연결고리는 법률업체였다.   공급 관계가 끝나도 공급망 공격은 계속된다  공급망 공격은 단독 사건이 아니다. 2020년 6월, 사이버보안 업체 블루보이언트(BlueVoyant)가 실시한 설문조사에 따르면, 80%의 기관과 기업이 공급업체 ...

공급망공격 value-chain attack 서드파티공격 2020.11.04

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.