‘스마트X’ 인프라·서비스 대상 대규모 공격 가능
[데이터넷] 본보는 2020년 보안 시장을 예측하고 새로운 보안 모델 수립에 참고할 수 있도록 주목해야 할 보안 키워드 10가지를 정리했다. ▲정부 보안 산업 육성 정책 ▲클라우드 보안 가속화 ▲OT·IoT 보안 위협 현실화 ▲양날의 검, AI ▲진화하는 공급망 공격 ▲랜섬웨어와 암호화폐 해킹·채굴 ▲지능형 공격의 진화 ▲개인정보 보호와 활용 ▲제로 트러스트 보안 모델 ▲통합과 자동화 등을 정리해본다.<편집자>
2019년 일본이 반도체 핵심소재의 한국 수출을 금지하자 미국의 전자업계가 일본 정부에 공개서한을 보내 수출 규제 중단을 요구하며 ‘글로벌 공급망을 교란시키지 말라’고 경고했다. 일본 수출규제로 인해 우리나라에서 생산하는 반도체를 공급받는 미국 기업들이 제 때 제품을 받지 못할 것을 우려했다.
현재 산업은 전 세계에 걸쳐 촘촘하게 짜인 ‘글로벌 공급망’에 의해 운영된다. 부품 공급 뿐 아니라 지식재산(IP) 관리, 품질관리, 각종 기밀정보 관리, 소프트웨어 배포와 보안 패치 배로, 원격 운영 도구 등 복잡한 공급망에 의해 작동된다.
이렇게 복잡한 공급망을 이용하는 사이버 공격이 성행하고 있다. 2018년 대만의 PC 제조사 에이수스 펌웨어 업데이터 서버가 해킹당해 업데이트 파일로 위장한 악성코드가 에이수스 PC에 감염된 상태로 출고된 사실이 발견됐다.
업데이트 서버를 감염시켜 악성 패치가 유포되도록 하는 방식의 공급망 공격은 다수 대중에게 피해를 입힐 수 있으며, 실제 공격 피해가 일어나기 전까지 탐지되지 않는다. 업데이트 서버의 코드사인 인증서를 탈취해 악성파일이 정상 업데이트 파일인 것처럼 보이게 할 수 있다.
외부 개발자·웹 취약점 이용 공급망 공격 ‘위험’
SK인포섹은 2019년 발생한 공급망 해킹 공격 사례로 개발업체를 이용한 것을 설명했다. 해커는 먼저 개발업체의 소프트웨어 서버, 업데이트 서버, 배포 서버, 개발자 PC 등에 침투한 후 인증서를 탈취하고, 코드 패치, 업데이트 모듈 위장 등의 방법으로 악성코드를 업로드 했다. 이 파일을 수신한 내부 서버와 PC 클라이언트는 모두 감염됐고, 해커는 해당 서버를 거점으로 공격 영역을 확대했다. 암호화폐 채굴, 랜섬웨어, 악성 봇을 통한 중요정보 탈취 등의 공격이 진행됐다.
이스트시큐리티는 웹 취약점을 악용해 특정 타깃을 노리는 워터링 홀 공격과 공급망 공격 형태의 개념이 결합된 형태로 공격 수법이 진화할 것으로 예상했다. 이 공격 수법은 정상 웹 사이트에 등록된 파일을 공격자가 악성 파일로 교묘히 바꿔치기해, 해당 분야의 웹 서비스를 이용하는 사용자들이 의심 없이 악성 파일을 내려받도록 유도한다.
KISA는 스마트X 서비스에 대한 공급망 공격을 경고했다. 스마트카, 의료기기 등은 소프트웨어 업데이트 및 추가 설치가 쉽지 않기 때문에 에이수스 공급망 공격처럼 처음부터 악성코드에 감염된 상태로 제품이 출고됐다면 막대한 피해를 일으킬 수 있다.
트렌드마이크로는 클라우드 서비스를 제공하는 써드파티 서비스 기업이나 원격지에서 유지보수하는 서비스 기업을 이용하는 공급망 공격을 경고했다. 원격지 접속 프로그램의 취약점을 악용해 공격도구를 몰래 심어 타깃 조직에게 피해를 입힐 수 있다는 설명이다. 또한 매니지드 서비스 업체가 공격 대상이 되어, 단 한 번의 공격 성공으로 이 서비스를 받는 모든 기업에게 피해를 입힐 수 있다고 설명했다.
