[데이터넷] 공격자는 신뢰할 수 있는 프로세스를 악용한다. 정상 사용자로 위장하고 정상 업무로 위장한 메일로 사용자를 속인다. 신뢰를 이용하는 공격 중 가장 많은 피해를 일으키는 것이 공급망 공격이다. 솔라윈즈, 카세야, 코드코브가 지난해 말부터 올해까지 대규모 공급망 공격에 이용됐다.

솔라윈즈는 사회에 가장 큰 충격을 준 사건인데, IT 관리 솔루션 ‘오리온’의 업데이트 파일이 감염돼 미국 연방 정부기관 다수와 파이어아이 등 IT 기업 등 수많은 기업과 기관에 데이터 유출 등의 피해를 입혔다.

카세야의 IT 관리 솔루션 ‘VSA’ 취약점이 랜섬웨어 유포에 사용됐으며, 카세야 VSA를 사용하는 3만6000여 기업이 피해 대상에 올랐다. 코드코브는 소프트웨어 코드 테스트 플랫폼이 침해당해 고객이 개발한 소스코드를 감염시켰다. 코드코브를 공격한 범죄자들은 업로더를 구성하는 1900줄의 코드 내에 단 한 줄의 악성코드를 숨겨 백도어를 만들어 고객이 테스트 스크립트를 다운할 때마다 고객 테스트 시스템에서 악성 소프트웨어를 실행하고 자격증명, 중요 데이터 등을 유출했다.

이 세 공격의 특징은 목표 조직을 감염시켜 그들이 보유한 대규모 고객을 감염시켰다는 것이다.

이하오 림(Yihao Lim) 맨디언트 위협 인텔리전스 수석 고문은 “공급망 공격은 공격자가 오픈소스 또는 써드파티 코드 저장소(repository) 및 기타 리소스에 악성 코드를 심는 것으로 시작된다. 오염된 패키지를 저장소에 심으면 많은 사용자가 코드를 게시하게 되고, 패키지가 다른 프로젝트에 통합될수록 공격자는 악성 코드를 더 많이 전파할 수 있다”고 설명했다.

복잡한 SW 공급망, 해킹에 취약

공급망 공격을 완벽하게 차단할 수 있는 전문 솔루션이나 기술은 없다. 특히 소프트웨어 공급망은 판매, 납품, 또는 영업, 물류 및 생산에 참여하는 공급업체나 관리 서비스 업체의 네트워크 등으로 복잡하게 얽혀 있기 때문에 공급망에 참여하는 모든 요소들에 대한 철저한 관리가 없으면 공격에 노출되기 쉽다. 복잡한 공급망의 한 곳만 공격에 성공하면 이 소프트웨어를 사용하는 많은 고객에게 악성코드를 전파할 수 있다.

소프트웨어 공급망 공격은 주로 업데이트 서버를 공격해 업데이트 파일을 내려 받는 시스템을 감염시키는데, 지난해 AD서버를 감염시켜 AD서버가 관리하는 시스템이 반복적으로 랜섬웨어에 감염되는 피해가 잇달아 발생하기도 했다.

최근 소프트웨어 공급망 공격이 더 자주 일어나고 있는데, 그 이유는 소프트웨어 구성 요소가 매우 많기 때문이다. 기업이 자체 개발자 조직을 통해 개발하는 소프트웨어는 관리가 상대적으로 수월할 수 있다. 그러나 모든 소프트웨어는 한 조직에서만 개발하지 않는다. 많은 경우 오픈소스 커뮤니티에서 필요한 모듈을 가져오는데, 대부분의 완성된 소프트웨어 90%가 오픈소스로 구성된다. 외부 개발사, 프리랜서 개발자, 도커허브 등에서 내려 받은 이미지 등이 기업·기관에서 사용하는 애플리케이션을 구성하고 있다.

박종필 진네트웍스 상무는 “공급망 공격은 ‘신뢰’를 악용하기 때문에 제로 트러스트 기반 보안 정책을 적용해야 한다. 그러나 이를 현실에 반영하기는 어렵다. 여러 기업이 참여하는 복잡한 공급망을 빈틈없이 철저하게 관리할 수 있는 주체가 없기 때문”이라고 말했다.

그는 “기업에서 자체적으로 제로 트러스트 원칙을 지켜 내부 개발 제품이나 외부에서 공급받은 써드파티 제품을 모두 검사하고 검증할 수 있겠지만, 사용 중인 모든 소프트웨어 구성요소를 검증하는 것은 불가능하다. 특히 완성된 패키지로 공급되는 소프트웨어, 바이너리 파일로 제공되는 써드파티 개발 제품, 오픈소스 소프트웨어 등의 소스코드를 모두 다 분석하는 것은 어려운 일”이라고 덧붙였다.

데브섹옵스 지원하는 SW보호 솔루션 필수

소프트웨어 공급망 보호의 시작은 안전한 소프트웨어를 제공하는 것이다. 소프트웨어 개발사는 제품을 출시하거나 패치를 배포하기 전, 개발된 소프트웨어에 취약점이 있는지 반드시 점검해야 한다. 개발 중 취약을 점검하는 SAST, 개발 후 테스트 과정에서 취약점을 스캔하는 DAST, 품질검증과 기능 테스트를 동시에 진행하는 IAST, 소프트웨어에 포함된 오픈소스와 써드파티 구성을 분석하는 SCA 등을 반드시 진행해야 한다.

가트너는 이에 더해 데브섹옵스 채택과 함께 코드로서의 인프라(IaC), 컨테이너 보안, 퍼즈 테스트, API 테스트, 클라우드 네이티브 지원 등도 안전한 소프트웨어 공급을 위한 필수 요건으로 언급했다.

가트너는 ‘애플리케이션 보안 테스팅(AST) 분야 매직쿼드런트 2021’ 보고서에서 코로나19로 애플리케이션 사용량이 늘면서 이를 악용한 공격이 증가하고 있으며, AST 수요가 늘어나 올해 이 시장이 18% 증가할 것으로 예상했다.

이 보고서에서 리더로 선정된 체크막스는 데브섹옵스, 클라우드 네이티브 개발, 전통적인 개발 환경을 포함한 SAST 활용 사례에서 높은 경쟁력을 인정받았다. 체크막스는 특히 데브섹옵스를 위해 필요한 CI/CD 관리를 지원해 시큐어 소프트웨어 개발 라이프사이클(SSDLC) 전반을 관리할 수 있게 한다.

체크막스는 오픈소스·써드파티를 포함한 모든 소스코드 분석을 자동화하고, 개발자의 개발도구와 연동해 취약점 제거 역량을 향상할 수 있다. 체크막스가 제공하는 ‘CxSAST’, ‘CxSCA’, ‘CxIAST’는 사내 개발한 소프트웨어는 물론, 광범위한 오픈소스 커뮤니티의 취약점 정보를 가져와 관리할 수 있다.

또한 공급망 보안 기업 더스티코(Dustico)를 인수하면서 보안 포트폴리오를 한층 더 강화했다. 더스티코는 패키징 된 코드에서도 비정상 행위를 찾는 기술을 제공하며, 정적 코드분석부터 패키징까지 소프트웨어 개발·배포 모든 과정을 보호할 수 있다.

체크막스는 최근 시스코 출신 송대근 지사장을 선임하면서 국내 시장 공략에 공격적으로 나섰다. 에스엔에이와 한국총판 계약을, 쿼드마이너와 리셀러 계약을 체결하면서 소프트웨어 보안과 공급방 보안 시장 영업에 나섰다.

김용호 쿼드마이너 CTO는 “쿼드마이너 솔루션의 보안을 검증하기 위해 체크막스를 도입했는데, 이를 객의 환경에 맞게 제공하는 것도 고객 비즈니스 보호에 도움이 된다고 판단해 리셀러 계약을 체결했다”며 “쿼드마이너 고객들도 클라우드 전환에 속도를 내고 있기 때문에 데브섹옵스를 지원하는 체크막스 솔루션이 도움 될 것”이라고 말했다.

김선애 기자 다른기사 보기