2020년, 러시아와 연관된 공격자들이 기업용 소프트웨어인 솔라윈즈(SolarWinds)의 오리온(Orion) 네트워크 모니터링 툴셋의 업그레이드 프로세스를 탈취했다. 솔라윈즈 사건의 영향도 광범위했다. 사이버보안 자문업체 NCC 그룹(NCC Group)의 수석 보안 컨설턴트 빅터 가즈닥은 “소프트웨어 개발 파이프라인에 액세스하면 네트워킹 인프라에 접근해 지적재산에 액세스할 수 있다”라고 말했다.
증가하는 데브옵스 파이프라인 공격
데브옵스 파이프라인 공격은 고립돼 있으며 숙련도가 높고 의욕적인 공격자에게 의존한다고 볼 수 있다. 사실, 데브옵스 파이프라인은 국가 차원의 공격자뿐 아니라 범죄집단에도 인기 있는 표적이 됐다.보안업체 아쿠아 시큐리티(Aqua Security) 산하의 공급망 보안업체 아르곤(Argon)의 최근 보고서에 따르면, 2021년 소프트웨어 공급망 공격은 2020년보다 300% 이상 증가했다. 공급망 공격은 일반적으로 인기 오픈소스 패키지에 악성코드 주입, 이미 존재하는 취약점 악용, CI/CD 파이프라인 도구 해킹, 하드코드 자격증명 및 기타 잘못된 구성과 보안 문제 활용 같은 방법을 사용한다. 오픈소스 구성요소 채널은 특히 인기가 있는 표적이었다.
오픈소스 개발 플랫폼 업체 소나타이프(Sonatype)가 2021년 9월 공개한 연구 결과에서는 오픈소스 소프트웨어 공급망 공격이 2020년보다 650% 증가했다. 공격 표면은 광범위하다. 3,700만 개 이상의 구성요소와 패키지가 상위 4개의 오픈소스 생태계에 있다. 2021년 오픈소스 소프트웨어의 다운로드 횟수는 2.2조 회에 이르렀는데, 이는 2020년보다 73% 증가한 수치다.
데브옵스 파이프라인이 취약한 이유
소프트웨어 개발자는 일반적으로 높은 허용 수준과 액세스 권한을 가진다. 외부 사용을 위해 소프트웨어를 설계한 경우에는 공격의 영향이 매우 커질 수 있다. 가즈닥은 “공격자도 최종 애플리케이션에 거점을 확보할 수 있다”라고 지적했다.
따라서 데브옵스 파이프라인은 더 높은 보안 수준을 갖추어야 하지만, 도리어 취약한 보안 관행과 노출된 인프라 및 자격증명이 많다. 가즈닥은 “쇼단(Shodan)에서 개발 툴 ‘젠킨스’를 검색하면 인터넷에서 수많은 젠킨스 인프라에 접근할 수 있다”라고 설명했다.
또한 CI/CD 인프라는 기업의 다른 영역만큼의 관심을 받지 못한다. 현대적인 개발 관행에서 이런 문제는 점점 악화한다. 가트너 애널리스트 데일 가드너는 “기업이 데브옵스로 이동하면서 개발을 중심으로 마련한 컨트롤 가운데 일부를 느슨하게 푼다. 데브옵스 방식으로 코드를 신속하게 제공하는 데 제한과 컨트롤이 방해되기 때문이다”라고 말했다.