5G 시대가 개막했다. 4G보다 1000배 많은 데이터를 200배 빠르게 처리할 수 있는 차세대 이동통신 기술인 5G로 인해 커넥티드카, 스마트시티 구현 속도가 몇 단계 더 빨라지게 됐다. 5G와 함께 새로운 보안 문제도 부상하고 있으며, 그 중 하나가 공급망 공격이다. 5G 통신을 위한 기지국 장비 취약점을 악용한 공급망 공격이 발생할 수 있다는 경고와 함께 5G로 인해 더욱 활성화된 IoT 융합 서비스를 노리는 공급망 공격 위험도 주의해야 한다는 주장이다.
배환국 소프트캠프 대표는 “공급망 공격이 전 세계에서 주목하는 사이버 위협이 됐다. 영국 국가사이버보안센터(NSCS), 미국 국토안보부(DHS) 등이 공급망 공격 방어를 위한 관리적 대응 방안을 발표한 바 있으며, 제품 생애주기를 관통하는 보안 체계를 마련할 것과 공급망에 참여하는 기업·기관에 대한 보안 관리 방안 마련을 강조하고 있다”며 “5G 상용화로 인해 IoT 융합 서비스가 빠르게 확산되고, 클라우드 컴퓨팅이 기업·기관 뿐 아니라 사람들의 일상생활에도 깊게 자리 잡으면서 공급망 공격은 더욱 더 지능적으로 전개될 것이다. ICT 융합 서비스의 복잡한 공급망을 이용하는 지능형 공격이 사회 전체를 위협하게 될 것”이라고 강조했다.
제품·서비스 전 단계 보안 체계 마련해야
현재까지 가장 많이 발생한 공급망 공격은 소프트웨어 업데이트 서버를 감염시키는 방법을 사용해왔지만, 지난해 ‘스파이칩’ 의혹이 불거지면서 하드웨어 공급망도 위험하다는 경고가 이어졌다.
다양한 융합 서비스 등장으로 공급망 공격은 한 차원 더 진화하게 될 것이다. 커넥티드카의 예를 들어보자. 커넥티드카는 소프트웨어 기술이 핵심이며, 여러 소프트웨어 개발 기업들이 참여해 다양한 기능을 구현한다. 수많은 소프트웨어 협력사와 2차, 3차 파트너를 통해 공급받은 소프트웨어 중 악성코드나 백도어가 숨어있을 가능성은 언제나 배제할 수 없다. 커넥티드카의 보안패치는 OTA(Over-the-Air)로 이뤄지는데, 무선 업데이트 통신이 공격을 당해 악성 패치가 업데이트되면 큰 사고로 이어질 수도 있다.
자동차 제조 단계에서의 공격도 배제할 수 없다. 악의를 갖거나 혹은 실수로 백도어를 만들고 취약점을 제거하지 않는 등의 문제가 발생할 수 있으며, 스파이칩과 같은 하드웨어 기반 공격을 벌일 가능성도 있다.
공급망 공격 방어를 위해서는 제품과 서비스 전 단계에 걸친 보안 체계 마련이 필수이며, 공급망에 있는 모든 기업과의 보안 협력이 반드시 전제돼야 한다. 여기에 기술적인 대응방안도 마련돼야 하는데, 선제적인 방어 기술과 공격 탐지와 대응 기술, 보안 관제와 관리 기술 등이 필요하다.
SW 변화관리로 안전한 패치 시스템 운영
소프트캠프는 패치파일 변화관리 시스템 ‘엑스스캔(EX-Scan)’ 외부유입파일 검증 시스템 ‘게이트 엑스캐너(GateXcanner)’로 공급망 공격 위협을 완화시킬 수 있다고 설명한다.
엑스스캔은 패치파일을 포함해 내부 개발조직이나 외부 개발사가 제공하는 각종 소프트웨어의 변화 정도를 추적, 관리하는 솔루션이다. 새롭게 개발된 소프트웨어의 행위분석, 기능분석, 변경분석 등을 수행한 후 이전 파일과 비교해 변화 정도를 수치화하고, 비정상적인 수준의 변화가 나타나면 소프트웨어 개발사에 확인하도록 한다. 소스코드를 분석하거나 패치파일을 실행하지 않고 악성 여부를 확인할 수 있다. 국내 주요 금융기관이 패치 프로세스 내에 엑스스캔을 포함시켜 안전한 패치 관리가 가능하도록 했다.
배환국 대표는 “그 어떤 보안 기술을 사용한다 해도 악의적이고 지능적으로 보안을 우회하는 악성코드를 완벽하게 막을 수 없다. 기술적 대응 방안과 관리적 대응 방안을 결합한 위협 완화 방법이 필요하다. 이러한 전제로 설계된 솔루션이 ‘엑스스캔’”이라고 설명했다.
그는 “악성코드가 주입된 패치파일은 정상 소프트웨어처럼 위장하고 있다 해도 이전에 배포된 패치파일과 큰 차이가 나타나게 된다. 비정상적인 변화가 나타날 경우 프로그램 제작사에 확인한 후 패치하면 공급망 공격 위협을 낮출 수 있다”고 밝혔다.
게이트 엑스캐너는 ICS 등 폐쇄망 패치의 안정성을 검증하기 위한 시스템으로, 외부에서 유입되는 모든 파일에 대해 백신 검사, 파일 무결성 검증 등을 거친 후 안전한 파일만 반입용 광디스크로 제작해준다.
주요 기반시설 패치파일이나 제어망 내 자료이동 시 무결성을 검증하고 광디스크(CD/DVD) 등을 통해 백신검사 후 자료이동을 실해야 한다는 행정안전부 주요정보통신기반시설 보호지침 일부 개정안을 준수한다.
한편 소프트캠프는 외부에서 유입되는 문서에서 악성 행위를 유발하는 액티브 콘텐츠를 제거하고 안전한 문서로 재조립하는 콘텐츠 무해화(CDR) 솔루션 ‘실덱스’도 공급하면서 외부 유입 콘텐츠를 이용한 공격을 방어할 수 있도록 하고 있다.
배환국 대표는 “소프트캠프는 업무 편의성을 해치지 않으면서 지능화되는 공격에 대응할 수 있는 방안을 지속적으로 제안한다”며 “실덱스, 엑스스캔, 게이트 엑스캐너 등이 이러한 요구에 부응할 수 있는 제품”이라고 소개했다.
