[데이터넷] 지난해 말 PC 제조사 에이수스가 공급망 공격을 당해 100만대 이상 PC가 감염되는 사고가 발생했다. 카스퍼스키랩에 따르면 이 사고는 에이수스 라이브 업데이트 파일 변조를 통해 악성코드를 유포한 것으로 알려지며, 전 세계 게임과 소프트웨어 개발사를 공격하는 바륨(BARIUM) APT 조직의 소행인 것으로 분석된다.
공격하기 쉽고 파괴력 큰 공급망 공격
공급망 공격은 복잡한 공급망의 취약점을 악용해 공격 범위를 확장시키는 것이다. 가장 많이 사용되는 방법은 에이수스 공격과 같이 업데이트 서버를 감염시켜 악성코드가 포함된 업데이트 파일을 유포하는 것이다.
2011년 SK커뮤니케이션즈 개인정보 해킹 사고가 그 대표적인 예이다. 해커는 보안업체의 업데이트 서버를 공격해 악성코드가 포함된 업데이트 파일을 SK컴즈 직원들에게 배포하게 했다. 3·20 방송사·금융기관 전산망 마비 사고도 업데이트 서버를 통해 악성코드가 배포된 것이었으며, 이후 국내 다수의 공공기관이 업데이트 서버를 통해 유포된 악성코드에 감염돼 피해를 입었다.
2017년에는 우크라이나 기업이 개발한 회계 프로그램 ‘메독(MeDoc)’이 공급망 공격을 받아 업데이트 서버를 통해 낫페트야 랜섬웨어가 포함된 패치파일이 메독 사용자에게 전달됐다. 이 사고로 메독을 사용하는 우크라이나와 유럽 기업들이 큰 피해를 입었다. 이 해 보안기업 어베스트가 제공하는 PC 최적화 솔루션 ‘씨클리너’도 공급망 공격으로 사용자에게 피해를 입혔다.
공급망 공격은 대규모 사용자에게 피해를 입힐 수 있는 파괴력이 큰 공격이다. IT 시스템의 공급망은 매우 복잡하게 얽혀있기 때문에 공격자가 취약점을 찾는 것이 어려운 일은 아니다. 공격자들이 주로 노리는 금융·공공기관, 글로벌 제조사와 첨단 기술기업들은 강력한 보안 체계를 갖추고 있기 때문에 공격자가 직접 방어망을 뚫기는 어렵다. 그러나 공급망의 취약점을 찾으면 쉽게 공격에 성공할 수 있다.
가장 성공하기 쉬운 방식은 프리랜서 개발자를 이용하는 것이다. 소프트웨어 개발사들이 모든 소프트웨어를 개발하는 것이 아니다. 오픈소스 모듈을 가져오기도 하고, 특정 모듈 개발에 특화된 아웃소싱 업체나 프리랜서 개발자에게 맡기기도 한다.
이렇게 개발된 모듈에 악성코드가 숨어있었는데, 취약점을 점검하지 않고 소프트웨어 제품에 적용하면 악성코드가 있는 상태로 배포된다. 개발자가 고의로 악성코드를 심지 않았다 해도 감염된 PC로 개발해 납품했다면 악성코드가 숨어있을 수 있다. 외부에서 공급받는 소프트웨어는 소스코드를 받지 않고 라이브러리로 받는 경우가 많기 때문에 소스코드를 분석하는 정적분석(SAST)으로는 취약점을 찾지 못한다.
도커, 서버리스 컴퓨팅과 같은 클라우드 개발 환경을 이용하는 공급망 공격도 있다. 도커 취약점을 이용해 악성코드를 숨긴 도커 이미지를 만든 후 도커 허브에 올린다. 개발자가 이를 내려받아 보안점검을 하지 않은 채 실행시켜 설치하면 악성코드가 클라우드에서 실행된다.
“공급망 공격 위험성 알아야”
업데이트 서버를 이용한 공급망 공격은 공격이 시작되기 전에 감염 사실을 알기 어려우며,일시에 대규모 사용자에게 피해를 줄 수 있다. 이 공격 방식은, 소프트웨어 개발사의 코드사인 인증서를 탈취한 후 업데이트 파일에 악성코드를 심고, 이 파일에 코드사인 인증을 해서 업데이트 서버에 업로드 한다. 사용자 기기는 업데이트 파일에 정상 코드사인이 있기 때문에 신뢰할 수 있는 파일이라고 여기고 다운로드 해 설치한다. 이 파일을 내려 받은 모든 기기가 동시에 감염될 수 있다.
이 공격은 IoT 환경에서 더 심각한 파급력을 가질 수 있다. 가정용 IP 카메라, 스마트TV, 가정용 공유기 등의 보안 업데이트 파일을 변조해 배포하면 이 기기를 사용하는 모든 사람들이 감염될 수 있다. 사생활 정보가 노출되고 좀비 기기로 공격자의 조종을 받아 다른 공격에 이용될 수 있다.
클라우드 환경에서의 공급망 공격도 위험하다. KISA ‘2019년 1분기 사이버 위협 동향 보고서’에서는 클라우드 환경의 공급망 공격을 경고하기도 했다. 지난해 이미 클라우드를 이용한 공격이 발견된 바 있다. 구글 확장프로그램을 클릭하면 악성코드가 다운로드 된다.
공급망 공격의 위험성이 커지고 있는데, IT 관리자나 보안 담당자들의 경각심은 그리 높지 않은 편이다. 소포스가 전 세계 기업의 IT 임원 3100명을 대상으로 진행한 설문조사에서 가장 심각한 위협으로 공급망 공격을 꼽은 사람은 16%에 불과했다.
소포스 보고서는 “사이버 범죄자들은 기관에 침투할 방법을 끊임없이 찾고 있고, 공급망 공격은 그들이 가장 선호하는 공격 방법의 상위권에 자리하고 있다. 그러나 IT 관리자들은 공급망 공격이 주로 국가 차원의 중요 타깃을 대상으로 이뤄지는 것으로 생각하기 때문에 간과하고 있다. 이런 공격 방법이 국가 차원에서 고안된 것은 맞지만 일단 일반에 공개되고 나면, 다른 사이버범죄자들이 나름의 방식으로 응용하고, 또 성공률도 높다”고 지적했다.
