Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

솔라윈즈

기고 | 옵저버빌리티, IT 조직이 더 ‘스마트’하게 일하는 해법

데이터는 1945년에 개발된 최초의 범용 디지털 컴퓨터 에니악(ENIAC) 시절에도 적시에 적절한 사람이 맡아야만 비로소 가치를 발휘할 수 있었다. 가치 있는 데이터는 기업뿐만 아니라 공급업체와 고객의 요구를 충족시키기 위한 정보에 입각한 결정을 내릴 수 있도록 해야 한다. 데이터는 어느 기업에서나 중요하지만 기업의 규모가 커질수록 관리는 더욱 복잡해진다. 예를 들어, 한 글로벌 기업이 작은 기기를 제조 및 판매한다고 가정해보자. 싱가포르의 지사는 미국 팔로알토나 독일의 다른 디자인팀과 협력해 제품을 설계할 수 있다. 이후 기기 제조는 전 세계에서 조달된 원자재로 말레이시아 공장에서 이루어질 수 있다. 다시 말해 품질과 고객 만족도를 보장하기 위해서 완성품이 사용자에게 도달하기까지 전 세계에서 수집된 수백만 개의 데이터 포인트가 적절히 취합돼 품질과 고객 만족을 보장하는 데 사용되어야 한다.    데이터는 오늘날 비즈니스에서 확장 가능한 기술 및 애플리케이션을 통해 복잡하고 전 세계적인 과정을 거쳐야 한다. 기업은 이 프로세스를 보호하기 위해 다수의 모니터링 툴을 사용하곤 한다. 한번 툴이 도입되면 모니터링 시스템은 변동이나 오류가 있을 때 알림을 보낸다. 하지만 고장 및 버그 발생 시 오류 위치 파악이 쉽지 않고, IT 전문가가 해결책을 찾기까지 시간이 낭비될 수 있다. 게다가 오류가 없는데도 알림이 빈번하게 잘못 울리면, 피로도가 증가한다. 그로 인해 팀은 비즈니스 개선을 위해 설계된 더 높은 수준의 작업에 집중하지 못하고 알림 관리에 시간을 허비하게 된다. 이는 IT 조직이 시스템의 가용성을 보장하기 위해 더 열심히 일해야 한다고 생각하기 쉽지만, 잘못된 생각이다. IT 조직은 더 열심히 일하기보다는 더 ‘스마트’하게 일해야 하며, 그러기 위해서는 풀스택 옵저버빌리티(Full Stack Observability)가 해법이 될 수 있다. 기존 모니터링은 수동 또는 통계적 임계값을 기초로 텔레메트리 데이터 평가용 메트릭 기반의 대시...

옵저버빌리티 관찰가능성 솔라윈즈 6일 전

솔라윈즈, 엔터프라이즈 소프트웨어 보안 높이는 차세대 빌드 시스템 공개

솔라윈즈가 소프트웨어 개발을 위한 새로운 변형모델로 ‘차세대 빌드 시스템(Next-Generation Build System)'을 공개했다.  새로운 소프트웨어 개발 프로세스는 ‘시큐어 바이 디자인(Secure by Design)’ 이니셔티브의 핵심으로, 솔라윈즈를 엔터프라이즈 소프트웨어 보안에 있어 기준이 되는데 기여할 구심점이 될 것으로 업체 측은 기대하고 있다.   솔라윈즈는 자사와 다른 테크 기업을 매우 정교하게 공격한 선버스트(SUNBURST)에 대한 대응으로 지난 1년 동안 일정보다 빠르게 소프트웨어를 개발하고, 개발 프로세스를 개선했다. 차세대 빌드 시스템은 개발 환경의 무결성 강화를 위한 새로운 소프트웨어 개발 방법과 기술 모두 포함한다. 업계 첫 ‘병렬 빌드’ 프로세스로 구성돼, 솔라윈즈 소프트웨어 개발이 보안 높은 다수의 중복 패스를 통해 무결성 검사 기반을 구축한다. 솔라윈즈가 선버스트 공격 당시 사용한 소프트웨어 개발 프로세스는 테크 산업 전반에 걸쳐 통용되고 있다. 때문에 솔라윈즈는 새로운 개발 시스템 구성 요소를 오픈소스 소프트웨어로 공개해 자사가 얻은 교훈이 다른 조직에게 도움이 되고 안전한 소프트웨어 개발을 위한 새로운 산업 표준 수립을 지원한다고 밝혔다. 솔라윈즈의 사장 겸 CEO인 수다카 라마크리슈나는 “진화하는 사이버 위협으로부터 공유 사이버 인프라를 효과적으로 보호할 수 있는 유일한 방법은 업계 내 투명한 의사소통과 협력뿐”이라며, “솔라윈즈의 시큐어 바이 디자인 이니셔티브는 개발 시스템 및 프로세스 혁신을 통한 소프트웨어 공급망 보안의 새로운 표준 설정을 목표로 한다”고 말했다. editor@itworld.co.kr

솔라윈즈 2022.07.19

sw 개발자가 공급망 보안에서 던져야 할 질문 "너무 많이 신뢰하지는 않는가?"

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

Log4j 소프트웨어빌드환경 프로덕션환경 2022.07.14

솔라윈즈, 차세대 ‘병렬 빌드’ 시스템 발표…보안 내재화에 총력

솔라윈즈가 치명적인 피해를 본 공급망 공격을 교훈 삼아 보안을 한층 강화한 새 소프트웨어 개발 시스템을 구축했다고 30일 밝혔다.    2020년, 한 해커 조직이 ‘선버스트(Sunburst)’라 불리는 악성 코드를 솔라윈즈의 소프트웨어 개발 시스템 오리온(Orion)에 심어 큰 타격을 가한 이래로 이 회사는 공급망 공격의 대명사격이 됐다. 선버스트는 오리온을 업데이트한 전 세계의 수많은 정부와 기업 고객에게 유포되어 막대한 피해를 줬다.  솔라윈즈는 이 사태로 뼈아픈 교훈을 얻었다. 그리고 교훈의 결과로 지난 22일(현지 시각) 차세대 빌드 시스템(Next-Generation Build System)을 발표했다. 소프트웨어 개발 환경의 무결성을 강화하는 일련의 기술을 포함한 시스템이다. 업계 최초로 적용한 ‘병렬 빌드(parallel build)’ 프로세스가 특징이라고 회사는 밝혔다. 이 프로세스에서는 소프트웨어 개발이 여러 개의 안전한 중복 경로를 거쳐 이뤄지면서 무결성 검사를 위한 기반을 구축한다는 설명이다.  451 리서치(451 Research)의 정보 보안 및 네트워킹 연구 책임자 다니엘 케네디는 "빌드 시스템에 컴파일된 바이너리가 해당 바이너리를 생성하는 데 쓰인 소스 코드와 일치하는지 확인하는 무결성 검사 절차가 없는 경우, 이러한 새 접근방식은 보안을 크게 강화할 것"이라고 평가했다. 그는 "새로운 시스템이 (예상보다) 비교적 이른 시일 안에 개발되었기 때문에 완성도가 높으리라고 보장하기는 어렵다. 다만 새로운 위협 발생 시 더 신속하게 대응하는 듯하다. 또한 새 시스템은 설계상 더 높은 투명성을 확보해 소프트웨어 개선, 유지, 개발의 속도와 안정성을 높일 것이다"라고 덧붙였다.  기술 자문 회사 옴디아(Omdia)의 사이버 보안 부문 수석 애널리스트 릭 터너는 "앱데브(AppDev)에 대한 CI/CD 파이프라인 접근 방식은 선형적일 뿐만 아니라 기본적으로 단일 경로에 의존한다. 따...

무결성 병렬 처리 병렬빌드 2022.07.04

솔라윈즈, 2022 IT 트렌드 리포트 발표…“하이브리드 IT 가속화로 네트워크 복잡성 증가”

솔라윈즈가 9번째 연례 IT 트렌드 보고서를 발표했다. 올해의 보고서 ‘2022 솔라윈즈 IT 트렌드 리포트 2022 - IT의 올바른 이해: 하이브리드 IT의 복잡성 관리’는 가속화되는 디지털 혁신이 IT 부서에 미치는 영향에 대한 내용을 담고 있다. 조사 결과, 하이브리드 IT 가속화로 인해 대부분의 조직에서 네트워크 복잡성이 증가했으며, IT 전문가들은 몇 가지 문제에 당면한 것으로 나타났다.   하이브리드 IT 및 원격 근무는 분산되고 복잡한 IT 환경을 더욱 분산시키고 복잡하게 되는 데 큰 영향을 끼쳤다. 클라우드 및 온프레미스 인프라 모두에서 워크로드와 애플리케이션을 실행하는 것은 쉽지 않아 많은 조직이 이러한 고충을 점점 더 많이 경험하고 있으며, 궁극적으로 어려움을 겪고 있다.  IT 관리자는 조직의 IT 관리 능력에 대한 자신감이 저조한 것으로 조사됐다. 응답자 중 44%가 복잡성을 관리하기 위해 모니터링 전략을 활용하고 있다고 답한 것과 별도로, 54%는 조직의 애플리케이션 및 인프라 대부분에 대한 가시성이 부족하다고 답했다. 이러한 가시성 부족은 비즈니스 크리티컬 애플리케이션의 가용성, 성능 및 보안을 보장하는 이상 징후 감지, 손쉬운 근본 원인 분석 및 기타 중요한 프로세스를 수행하는 능력에 영향을 미친다. 솔라윈즈의 수다카 라마크리슈나 사장은 “조직이 팬데믹을 극복하기 위해서는 지난 몇 년간의 투자를 재검토해야 한다”며, “그 일환으로 IT 환경에 대한 가시성을 확보해 문제를 파악하고 계획된 프로젝트에서 목표로 하는 투자수익률(ROI)를 달성하기 위해 노력의 우선순위를 선정해야 한다”고 지적했다. 보고서에 따르면, 하이브리드 IT의 지속적인 확장으로 IT 관리 복잡성이 증가하고 있지만 IT 관리자들은 최상의 IT 관리 방법에 대한 확신이 부족하다고 느끼는 것으로 나타났다.  하이브리드 IT의 가속화로 조직의 IT 관리의 복잡성이 증가했다는 응답은 29%에 달했는데, IT 관리자들은 복잡성 증가의 주요...

솔라윈즈 2022.06.15

'솔라윈즈 해킹' 관련 소송 점화…CISO가 배워야 할 6가지 교훈

2020년 솔라윈즈 해킹은 전 세계적으로 큰 영향을 미쳤다. 전방위적인 개선 노력에 공공 및 민간 부문의 자원이 투입됐으며, 솔라윈즈의 주가에도 부정적인 영향을 미쳤다. 그 결과 솔라윈즈를 상대로 민사 소송이 뒤따랐다. 이에 솔라윈즈 CISO 팀 브라운, 사모펀드 회사 실버 레이크(Silver Lake)와 토마 브라보(Thoma Bravo)는 소송 기각을 요청했다. 하지만 미 연방법원이 이를 거부함에 따라 솔라윈즈 해킹과 관련한 소송이 시작될 참이다.   보안 업체 레드포인트 사이버시큐리티(Redpoint Cybersecurity)의 고객 참여 담당 사이버보안 및 개인정보보호 변호사 바이올렛 설리번은 판사가 원고들에게 “청구권이 있을 수 있다고 판단해 심리하려고 하는 것이다. 흥미로운 것은 판결 결과가 아니라 판결 과정에서 발견되는 사항들일 것이다. 이 소송에서는 다음과 같은 질문을 할 수 있다. ‘침해가 발견되는 동안 포렌식 보고서를 마련했는가’, ‘포렌식 보고서에 변호사-의뢰인 비밀 보호 제도가 적용되는가’이다”라고 말했다.  핵심 질문 : 솔라윈즈는 보안 절차를 무시했는가? 소송 기각 요청을 거부한 판사는 모든 CISO가 두려워하는 것, 즉 기본적인 사이버보안 방안을 구현하는 과정에서 직원이 ‘지름길’을 택했는지에 집중했다. 비밀번호 관리에는 대가가 따른다. 솔라윈즈는 보안 연구원이 2019년 11월 ‘업데이트 서버’에서 발견한 악명 높은 암호 ‘solarwinds123’이 통보된 지 한 시간 이내에 해당 비밀번호를 변경했으며, 러시아의 솔라윈즈 침해와 해당 비밀번호는 관련이 없다고 선을 그었다. 그러나 설리번은 “업데이트 서버의 비밀번호 문제는 단지 진입점일 뿐”이라고 말했다. 판사는 ‘근본적인 보안 문제에 대한 혐의(예컨대 solarwinds123 비밀번호 침해)’만으로 솔라윈즈의 보안 문제가 직접적으로 손실을 일으켰다고 볼 필요는 없다고 판단했다. 다만 이런 혐의는 솔라윈즈 경영진이 무엇인가가 심각할 정도로 잘못되었다는 것을...

솔라윈즈 CISO 보안 2022.04.26

데브옵스 파이프라인이 공격을 받는 이유와 대처 방안

2017년 중반, 러시아 정부의 지원을 받은 것으로 알려진 사이버 공격자가 우크라이나의 금융 소프트웨어 패키지에 낫페트야(NotPetya)라는 악성코드를 설치했다. 해당 소프트웨어를 사용하던 많은 기업이 업데이트를 통해 악성코드에 감염됐다. 낫페트야는 빠르게 확산했고 전 세계적으로 수십억 달러의 피해를 입혔다. 백악관은 낫페트야가 ‘역사상 가장 파괴적이고 비용이 많이 발생한 사이버 공격’이라고 말했다. 2020년, 러시아와 연관된 공격자들이 기업용 소프트웨어인 솔라윈즈(SolarWinds)의 오리온(Orion) 네트워크 모니터링 툴셋의 업그레이드 프로세스를 탈취했다. 솔라윈즈 사건의 영향도 광범위했다. 사이버보안 자문업체 NCC 그룹(NCC Group)의 수석 보안 컨설턴트 빅터 가즈닥은 “소프트웨어 개발 파이프라인에 액세스하면 네트워킹 인프라에 접근해 지적재산에 액세스할 수 있다”라고 말했다.    증가하는 데브옵스 파이프라인 공격 데브옵스 파이프라인 공격은 고립돼 있으며 숙련도가 높고 의욕적인 공격자에게 의존한다고 볼 수 있다. 사실, 데브옵스 파이프라인은 국가 차원의 공격자뿐 아니라 범죄집단에도 인기 있는 표적이 됐다. 보안업체 아쿠아 시큐리티(Aqua Security) 산하의 공급망 보안업체 아르곤(Argon)의 최근 보고서에 따르면, 2021년 소프트웨어 공급망 공격은 2020년보다 300% 이상 증가했다. 공급망 공격은 일반적으로 인기 오픈소스 패키지에 악성코드 주입, 이미 존재하는 취약점 악용, CI/CD 파이프라인 도구 해킹, 하드코드 자격증명 및 기타 잘못된 구성과 보안 문제 활용 같은 방법을 사용한다. 오픈소스 구성요소 채널은 특히 인기가 있는 표적이었다. 오픈소스 개발 플랫폼 업체 소나타이프(Sonatype)가 2021년 9월 공개한 연구 결과에서는 오픈소스 소프트웨어 공급망 공격이 2020년보다 650% 증가했다. 공격 표면은 광범위하다. 3,700만 개 이상의 구성요소와 패키지가 상위 4개의 오픈소스 생태계에...

솔라윈즈 낫페트야 log4j 2022.02.25

글로벌 칼럼 | 2022년은 소프트웨어 공급망 보안의 해

2020년이 소비재 공급망의 존재를 체감한 해였다면, 2021년은 소프트웨어 공급망에 대한 인식이 높아진 해였다. 2021년 가장 악명 높았던 소프트웨어 공급망 공격은 솔라윈즈(SolarWinds)로, 여러 미국 정부 기관과 수많은 고객이 악성코드에 감염된 솔라윈즈의 소프트웨어 업데이트 파일을 다운로드했다.     솔라윈즈뿐만이 아니었다. 최근에는 Log4j 취약점으로 소프트웨어 공급망의 약점이 여실히 드러났다. Log4j가 광범위하게 사용되는 오픈소스 자바 로깅 프레임워크인 만큼 취약점은 데이터 스토리지 서비스부터 온라인 비디오 게임에 이르기까지 수많은 애플리케이션을 위험에 빠뜨렸다. 프로덕션 단계에는 약식으로 유지 보수되는 코드가 많기 때문에 소프트웨어 공급망은 Log4j 취약점 같은 익스플로잇이 활동하기 좋은 환경이다. 여러 개발자가 약식으로 유지 보수되는 소프트웨어 라이브러리를 프로덕션에 투입하고, 이후에는 패치하지 않는다. 이런 문제는 현재 오픈소스에서 활발하게 논의하는 주제이기도 하다.  따라서 필자는 2022년을 소프트웨어 공급망 보안의 해로 선언한다. 선언으로 끝이 아니다. 2022년 기업이 소프트웨어 공급망 공격에 대한 방어력을 강화함에 따라 중요성이 높아질 것으로 예상되는 3가지 추세를 소개한다. 1. 디스트로리스의 확대 2022년부터 기업은 배포판 요소를 포함해 컨테이너 이미지를 신중하게 간소화하고 표준화하는 방법을 고민해야 한다. 아예 ‘디스트로리스(distroless)’를 추구해야 한다는 주장까지 있다.  디스트로리스 모델에서 애플리케이션은 여전히 컨테이너 이미지로 패키징되지만, 운영체제는 최소한의 흔적만 남는다. 패키지 관리자와 라이브러리, 셸을 제거해 운영체제의 최대한 많은 부분을 걷어 냄으로써 공격 표면을 줄이는 개념이다.  그러나 중요한 것은 서버리스 컴퓨팅에도 서버가 있듯이 디스트로리스 컴퓨팅에도 배포판은 존재한다는 것이다. 다만 적어질 뿐이다. 어쩌면 이것이 디스트로리스 ...

솔라윈즈 커세어 공급망공격 2022.01.06

솔라윈즈, 한국지사 설립…박경순 한국 지사장 선임

솔라윈즈(solarwinds.com/ko)가 한국지사를 설립하고, 박경순 지사장을 솔라윈즈코리아의 초대 지사장으로 선임했다고 발표했다. 솔라윈즈는 박경순 지사장의 선임을 시작으로 브랜드 강화와 IT 운영 관리(ITOM) 소프트웨어 시장에서의 입지를 더욱 공고히 할 계획이라고 밝혔다. 특히, 한국 투자를 늘려 지사의 인력을 확대해 나갈 방침이다.   IT 업계에서 20년 이상의 경력을 가진 박 지사장은 한국 내의 솔라윈즈 고객과 파트너의 요구사항을 적극적으로 반영하고, 강력하고 심플하면서도 안전한 솔라윈즈 IT 운영 관리 솔루션을 통해 고객과 파트너의 디지털 트랜스포메이션 시장에 주력할 예정이다. 그동안 솔라윈즈는 기술 파트너와 서비스 공급업체, 시스템 통합 업체와 긴밀히 협력해 새로운 수익 창출 기회를 제공해왔다. 솔라윈즈 조 시뇨렐리 한국·일본 영업 총괄 부사장은 “박경순 지사장의 선임으로 한국 파트너에게 더 나은 서비스를 제공하고 확고한 비즈니스 협력 관계를 구축할 수 있는 시장 진출 전략을 전개하게 됐다”며, “박 지사장이 가진 IT 산업에 대한 열정과 폭넓은 경험은 솔라윈즈의 성장과 전략적 제휴를 통한 한국 파트너와의 사업 확장에 도움을 줄 것”이라고 말했다. 솔라윈즈코리아 박경순 지사장은 “솔라윈즈는 비즈니스에 초점을 맞춘 대규모 성장 전략을 전개해 세계적으로 인정받고 있는 다양한 솔루션으로 더 많은 고객과 파트너사가 도약할 수 있는 지원체계가 마련됐다”며, “앞으로 한국지사의 성장에 기여할 수 있도록 최선을 다하겠다”라고 말했다. editor@itworld.co.kr

솔라윈즈 2021.09.16

"사례로 본" 보편적인 공급망 공격 유형 6가지

요즈음 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하기는 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 것은 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사한다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한...

공급망공격 코드코브 솔라윈즈 2021.06.03

솔라윈즈 공격자 노벨리엄, 최신 대량 이메일 캠페인 통해 150개 이상의 기업 공격

러시아 해킹 그룹인 노벨리엄(Nobelium)은 솔라윈즈 오리온(SolarWinds Orion) 플랫폼의 소프트웨어 업데이트를 훼손했던 공급망 공격의 배후로, 지난 몇 개월 동안 기관과 기업 내에 백도어를 설치하는 이메일 기반 공격을 진행했다.   이 공격은 최근 미국 국제개발처(United States Agency for International Development, USAID)의 이메일 마케팅 계정을 탈취함으로써 강화됐고, 24개국 150개 이상의 기업, 약 3,000명의 사람을 표적으로 삼았다.  이 공격 그룹은 보안 업계에서 APT29, 코지 베어(Cozy Bear), 더 듀크스(The Dukes), 노벨리엄으로 알려졌으며, 미국 및 영국 정부는 이를 러시아 해외정보국(Foreign Intelligence Service, SVR)에 연계시켰다.  노벨리엄은 정부 또는 정부 관련 단체를 공격한 오랜 역사를 가지고 있고, 때때로 최초 접근을 위해 제로데이 익스플로잇을 이용한다. 마이크로소프트가 밝혀낸 최근의 이메일 공격에서 노벨리엄의 표적의 약 1/4이 국제 개발, 인도주의 및 인권 업무에 연관된 조직이었다.  마이크로소프트의 고객 보안 및 신뢰 담당 부사장인 톰 버트는 “노벨리엄 및 유사 단체의 활동은 자신이 활동하는 국가가 우려하는 문제와 연관되는 경향이 있다”면서, “이번의 경우, 노벨리엄은 다수의 인도주의 및 인권 단체를 겨냥했다"라고 말했다.  코로나19 팬데믹이 절정일 때 러시아의 스트론티엄(Strontium)은 백신 관련 의료 단체를 공격했다. 2019년 스트론티엄은 스포츠 및 반도핑 단체를 공격했고 마이크로소프트는 과거 스트론티엄 등의 공격 집단이 미국 및 그 외 지역의 중대 선거를 표적으로 했음을 밝힌 바 있다. 버트는 "이는 각종 정치적 목적을 달성하기 위해 사이버 공격을 선택하는 국가가 증가하고 있음을 보여주는 또 하나의 실례일 뿐이다"라고 설명했다.  시간의 경과에 따...

솔라윈즈 노벨리엄 Nobelium 2021.06.01

SolarWinds 원점추적: 우리는 앞서 가고 있는가?

최근 SolarWinds Orion 플랫폼에서 악성 백도어를 통해 6개 이상의 정부기관과 아직 알려지지 않은 여러 조직들을 대상으로 한 광범위한 침입 캠페인이 발생했다. 현재 이 공격의 배후로 러시아가 지목되고 있지만, 이러한 주장에 대한 공개 증거는 현재 부족한 상황이다. 정확한 정보 분석을 위해서는 편견이 배제되어야 한다. 편견은 정책의 실수로 이어질 수 있다. 명백한 증거 없이 상대적 대응(또는 때로는 불균형 대응)에 대한 정책을 논의하는 것은 위험할 수 있다. 우리는 원점추적(attribution)과 공격자 매핑(adversary mapping)에 초점을 맞추기 위해 기존 기술을 사용하여 분석에 접근했다. 공격자의 동기와 의도에 대한 인사이트를 제공하기 위해 ITRE ATT&CK 기술 매핑, 피해 대상 조사, 시간적 징후, 히스토릭 지표의 사용을 포함한 방법론을 따랐다. 우리의 목표는 이 공격의 주체를 확정하는 것이 아니라 정보 분석을 통해 기존 데이터를 검토하고 공격자 추적에 대한 논의에 기여하는 것이다. <17p> 주요 내용 - ATT&CK 기술 분석 : 피해대상, 시간, 이력 - 행위자가 다수일 가능성 - 부록 : 주요 공격기술과의 비교

솔라윈즈 공급망공격 백도어 2021.06.01

“누가, 언제, 무엇을 해킹했는가” 솔라윈즈 공급망 공격 타임라인

2020년 솔라윈즈(SolarWinds) 공격에 대한 세부 사항은 계속 전개되고 있으며, 최종 피해가 집계되기까지는 몇 년이 걸릴 수 있다.   리서치 조사기관인 옴디아(Omdia) 보안 운영 수석 분석가 에릭 파리조는 “솔라윈즈 소프트웨어 공급망 해킹이 사상 최대의 피해를 가져온 사이버 공격이라고 말하기 어렵지만 공급망이 상당한 위험을 내포하고 있다는 보안업계의 잦은 경고에도 불구하고 많은 사람의 허를 찔렀다”라고 말했다.  솔라윈즈 공격은 중대한 물리적 결과를 초래할 수 있는 전례가 없는 사항이다. 위험 관리 및 산업 엔지니어링 전문가이자 리치먼드대 경영학과 교수 시탈 테크디는 “이 공격은 주요 인프라 제공업체에 영향을 미쳐 잠재적으로 에너지 및 제조 역량에 영향을 미칠 가능성이 있으며, 심각한 피해를 초래할 수 있는 중차대한 사건으로 취급해야 한다”라고 말했다.  현재까지 솔라윈즈 해킹과 관련된 사건들이 어떻게 전개되어 왔는지에 대한 타임 라인은 다음과 같다.    2020년 12월 8일, 공격은 어떻게 발견됐는가 사이버보안 업체인 파이어아이(FireEye)는 그들이 국가주도 공격에 피해를 입었다고 발표했다. 파이어아이 보안팀은 침투테스트에서 윤리적 해커가 사용하는 애플리케이션이 포함된 레드팀 툴킷을 도난당했다고 보고했다.     2020년 12월 13일. 선버스트, 초기 탐지 파이어아이는 자체 레드팀 툴킷에 대한 국가주도 공격을 조사하는 과정에서 공급망 공격을 발견했다. 연구진은 공격자가 솔라윈즈 소프트웨어인 솔라윈즈 오리온 비즈니스 소프트웨어 업데이트를 트로이목마화해 악성코드를 유포하는 백도어에 진입했다는 증거를 우연히 발견했다. 파이어아이는 이를 선버스트(SUNBURST)라고 명명했다.  2020년 12월 13일. CISA, 긴급 지침 발행  미국 CISA(Cybersecurity and Infrastructure Security Agency)는 영...

솔라윈즈 오리온 공급망공격 2021.04.07

글로벌 칼럼 | 솔라윈즈 해킹, 마이크로소프트도 책임 있는가

지난 몇 년 동안 마이크로소프트는 정부와 외국 해커 집단과의 싸움 전면에 나서 러시아와 연결된 해커의 수많은 공격을 막는 데 일조했다. 마이크로소프트는 미국 NSA가 소프트웨어와 하드웨어의 취약점을 관련 업체가 고칠 수 있도록 하지 않고 쌓아 두고만 있어 악용될 위험이 크다고 공개적으로 비난했으며, 제네바 회의에서 사이버 공격을 막기 위한 국제 협약을 제안하기도 했다.   하지만 지금 마이크로소프트는 미 연방정부와 산업계에 대한 솔라윈즈 공격의 피해를 더 키웠다는 비난을 받고 있다. 과연 마이크로소프트가 의도치 않게 사이버 공격을 부추겼는가? 이에 대한 해답을 얻기 위해서는 우선 솔라윈즈 공격을 자세히 살펴봐야 한다.   솔라윈즈 공격의 내부 현재 솔라윈즈는 미 연방 정부와 산업계에 대한 가장 정교하고 성공적이며 위험한 사이버 공격으로 인식되고 있다. 미 연방 정부 기관 중 최소한 9곳과 인텔, 시스코, VM웨어, 엔비디아 같은 내로라하는 IT 업체 100곳이 해킹을 당했으며, 조사가 진행되면서 이 숫자는 더 늘어날 것으로 보인다.  아직은 정확하게 어떤 정보가 도난당했으며, 도난당한 정보가 어떻게 사용됐는지 확실하지 않다. 또한 공격자가 여전히 미 연방정부기관과 기업에 대한 액세스를 유지하고 있는지도, 나중에 이용하기 위해 더 많은 악성코드를 심어 놓았는지도 알 수 없다.  하지만 이 공격이 어떻게 이루어졌는지는 알고 있다. 솔라윈즈 해킹은 ATP29 또는 코지 베어(Cozy Bear)란 러시아 해킹 그룹이 실행했는데, 러시아 정보 기관의 일부인 것으로 알려져 있다. 이들은 솔라윈즈란 회사를 해킹했는데, 이 회사는 인기 있는 네트워크 및 애플리케이션 모니터링 플랫폼인 오리온(Orion)을 개발하는 곳이다. 공급망 공격이란 기법을 이용해 악성 코드를 오리온의 업데이트 패치에 삽입했고, 오리온 소프트웨어를 업데이트한 기업이나 정부기관이 감염된 것이다. 1만 8,000곳 이상의 기업과 정부기관이 문제의 패치를 설치했고,...

솔라윈즈 러시아 SAML 2021.03.25

공급망 공격에 대처하는 보안 관리자를 위한 5가지 핵심 사항…솔라윈즈 미 상원 청문회

미국 상원 청문회에서 주요 보안업체 임원의 발언은 대부분의 기관과 기업이 공급망 공격에 얼마나 준비되지 않았는지를 보여준다. 이번 기사는 보안 관리자가 배워야 할 핵심 사항에 대해 정리했다.           파이어아이 CEO 케빈 맨디아는 최근 미국 상원 소위원회에서 솔라윈즈(SolarWinds) 공격에 대해 증언했다. 맨디아는 공격자가 파이어아이의 마이크로소프트 윈도우 ID 토큰 및 유효한 자격 증명을 어떻게 획득했는지를 설명했다. 파이어아이가 침입을 탐지할 수 있었던 이유는 공격자가 우연히 파이어아이가 사용하는 침입 테스트 도구를 목표로 삼았기 때문이다.    청문회를 떠나 공급망 공격과 관련해 보안 및 IT 관리자가 알아야 할 핵심 사항을 정리했다.  잠재적인 공급망 공격 피해자, 적절한 도구가 없다 마이크로소프트 최고법률책임자 브래드 스미스는 증언에서 공격자가 클라우드 서비스에 들어갈 때에만 유일하게 공격자의 행동을 보았다고 말했다. 공격자들은 온프레미스 컴퓨터로 들어갔기 때문에 마이크로소프트는 공격을 볼 수 없었다. 이는 마이크로소프트의 여러 보안 도구에 문제가 있음을 나타낸다. 온프레미스 컴퓨터에서도 사용할 수 있는 보안 도구는 마이크로소프트의 가장 비싼 E5 라이선스에 배치되어 있다. 마이크로소프트 고객이 마이크로소프트 디펜더 ATP(Advanced Threat Protection)를 사용하도록 설정했다면, 마이크로소프트는 이 핵심 데이터를 훨씬 더 일찍 확인했을 것이다.  스미스는 현대 기술의 필요성이 모든 기업이 노력해야 하는 핵심 과제라고 지적했다. 스미스는 클라우드로의 전환이 이런 유형의 공격으로부터 시스템과 서비스를 더욱 방어할 수 있게 해준다고 암시했다. 필자는 클라우드로 전환하는 것에 대해 스미스의 의견에 동의하지 않는다. 주요 보안 클라우드 서비스를 추가하는 것이 유일한 방법은 아니지만, 더 나은 정보를 얻을 수 있다. 필자는 마이크로소프트 디펜...

공급망공격 솔라윈즈 파이어아이 2021.03.22

뉴욕, 랜섬웨어와 솔라윈즈로 인한 비용 증가로 사이버 보험 프레임워크 발행

2021년 2월 4일 뉴욕은 미국 최초로 모든 공인된 재산 및 손해 보험업체에게 사이버보안 보험 위험 프레임워크를 발행했다. 이 프레임워크를 발표하면서 뉴욕의 금융 서비스부(Department of Financial Services, DFS)는 “최근 랜섬웨어의 부상과 솔라윈즈 기반의 사이버 첩보 캠페인으로 인해 사이버보안은 이제 소비자 보호에서 국가 안보에 이르기까지 현대 생활의 모든 측면에서 매우 중요해졌다”라고 밝혔다.      이 프레임워크는 사이버보안 보험을 작성하는 모든 재산 또는 손해 보험업체에 적용된다. 그러나 DFS는 사이버보안 보험을 제공하지 않는 보험업체들도 이 ‘조용한 위험’에 대해 평가하고, 이를 줄이기 위한 적절한 조치를 취하길 바라고 있다.    DFS의 몸값 요구에 대한 조언, "보험이 오히려 몸값을 높인다"  DFS는 랜섬웨어 보험 청구가 2018년부터 2019년까지 180% 증가했고, 2019년부터 2020년까지 2배로 증가했다는 점에 주목하면서 보험업체에 다음과 같은 3가지 이유로 랜섬웨어 몸값을 지불하지 말 것을 조언했다.   미국 재무부의 해외자산통제국(OFAC)은 몸값 지불이 국가 안보에 미치는 영향에 대해 언급하면서 보험업체가 제재 대상에 지불한 몸값에 대해 책임을 질 수 있다고 경고했다. 또한 보험업체가 몸값을 지불하더라도 피해자가 암호화된 파일이나 도난당한 데이터를 되찾을 것이라는 보장이 없다.  많은 보험업체는 아직 사이버보안 위험을 정확하게 측정할 수 없다. 게다가 사이버 보험은 사이버 위험을 증가시키는 역효과를 가져올 수 있는데, 이는 곧 보험업체에 부담으로 작용한다.    DFS는 “러시아 정부가 2017년에 내놓은 ‘낫페트야(NotPetya) 악성코드로 인해 30억 달러의 보험 청구가 발생했으며, 이 가운데 보험업체는 사이버보안 위험에 대한 침묵 정책에 따라 27억 달러를 지불했다”라고 비교했다.  뉴욕의...

랜섬웨어 솔라윈즈 사이버보험 2021.02.25

'서드파티를 조심하라' 공급망 공격을 경계해야 하는 이유와 완화 방법

기업 보안의 취약한 연결 고리는 파트너 및 공급업체와 관련이 있을 수 있다. 공급망 위험을 이해하고 완화하는 방법에 대해 알아본다.    공급망 공격이란 공급망(supply chain) 또는 서드파티 공격이라 부르는 이 공격은 누군가가 시스템 및 데이터에 대한 접근 권한을 가진 외부 파트너 또는 공급업체를 통해 시스템에 침투할 때 발생한다. 지난 수년 동안 더 많은 공급업체와 서비스 제공업체가 그 어느 때보다 중요한 데이터를 취급하면서 일반적인 기업의 공격 표면이 크게 변했다.  새로운 유형의 공격, 위협에 대한 대중의 인식 증가, 규제 기관의 감독 강화로 인해 공급망 공격과 관련한 위험은 그 어느 때보다도 높아졌다. 한편 공격자는 더 많은 자원과 도구를 사용할 수 있어 완벽한 공격 형태를 만들어내는데, 최근의 솔라윈즈(SolarWinds) 공격이 대표적인 예다.  솔라윈즈 공격, 공급망 위험을 일깨워준다 네트워킹 도구 공급업체인 솔라윈즈의 최대 1만 8,000여 고객을 대상으로 한 공격 소식은 점점 더 악화되고 있다. 뉴욕타임스 보도에 따르면, 러시아에 의한 솔라윈즈 공격은 처음 보도된 것처럼 수십 개의 정부기관과 기업 네트워크에 침투했다. 이후 250개의 기관 및 기업이 피해를 입은 것으로 파악됐으며, 공격자는 여러 공급망 계층을 활용했다.  레비 스트라우스(Levi Strauss) 부 CISO 스티브 잘레브스키는 “이런 공격은 신뢰의 사슬을 파괴하는 것이며, 모든 서드파티 제품과 관련된 큰 문제”라며, “기업은 더이상 내부 공급망만을 고집할 수는 없다. 신뢰를 구축한 서드파티에 의존해야 하는데, 이를 위한 국내적, 국제적인 방법은 없다”라고 말했다.  기업이 외부 공급업체에 점점 더 의존하면서 문제는 갈수록 악화되고 있다. 잘레브스키는 “이제는 소프트웨어 산업의 전체 생태계를 살펴봐야 할 때다. 공급망 위협을 완전히 해결하려면 글로벌 PKI 시스템과 같은 국제적인 신뢰의 망이 필요하다. ...

서드파티 공급망공격 솔라윈즈 2021.02.09

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.