[데이터넷] 공급망 공격자들의 새로운 ‘단골’은 컨테이너이다. 도커허브에 취약한 이미지를 업로드하면 별도의 보안 점검을 하지 않고 도커 이미지를 내려받는 조직을 감염시킬 수 있다. 글로벌 IT 기업과 제조사들이 이 방식의 공격을 당한 것으로 알려지기도 했다.

트렌드마이크로는 리눅스 보안을 통해 컨테이너 악용 공급망 공격을 방어할 수 있다고 강조한다. 컨테이너 이미지에 내재된 악성코드, 이미지 등록 탈취, 도커·쿠버네티스 API 남용 등 개발 파이프라인의 다양한 단계에서 위협이 발생할 수 있다. 이를 막기 위해 리눅스 도구에서 제공하는 보안 설정과 보안 도구가 있으며, 리눅스 서버 보호를 위한 안티 멀웨어, IPS/IDS, 취약점 탐지, 액티브 모니터링이 필요하다.

이 외에 컨테이너 환경을 위한 보안 기술도 필요하다. CI/CD 파이프라인에서 컨테이너 이미지가 안전한지, 신뢰할 수 있는지, 적절한 권한으로 실행되는지 반드시 확인해야 하며, ▲알파인 리눅스 등 경량 베이스 이미지 사용 ▲컨테이너를 루트 또는 권한 모드로 실행하지 말고 최소 권한 원칙 적용 ▲컨테이너 이미지 서명·검증해 공급망 공격으로부터 컨테이너 이미지 보호 ▲컨테이너 종속성·취약성 능동적으로 검색·수정 ▲컨테이너 이미지에 암호 또는 자격 증명을 하드코드하지 않음 등이 필요하다.

한편 트렌드마이크로는 다양한 버전의 리눅스 서버를 보호하는 솔루션을 제공하고 있으며, 뛰어난 가상패치 기능을 이용해 패치되지 않은 시스템, 패치가 공개되지 않은 취약점 문제를 선제적으로 해결할 수 있다.

안전한 코드사인 인증서 관리 필수

소프트웨어 업데이트·패치 파일을 이용하는 공급망 공격자는 소프트웨어 개발사의 코드사인 인증서를 훔쳐 배포 전 패치파일에 악성코드를 주입한 후 정상 인증서로 사인해 배포한다. 고객사 업데이트 서버에서는 정상 코드사인이 있는 소프트웨어는 믿을 수 있는 것으로 간주하고 패치를 적용한다. 그래서 패치 파일을 이용한 공격이 매우 효과적으로 대규모 피해를 입힐 있다.

따라서 소프트웨어 개발사는 코드사인 인증서를 강력한 보안으로 보호해야 한다. 인증서 발급 서버는 분 리된 폐쇄망에서 관리하며, 강력한 접근권한을 적용해 불법 권한자의 접근을 막아야 한다. 인증서는 HSM과 같은 안전한 하드웨어 모듈에서 관리해 탈취되지 않도록 하는 것도 필요하다.

SBOM으로 SW 안전성 검증해야

공급망 공격 방어를 위해 소프트웨어 개발사와 개발조직이 안전한 제품을 제공하는 것이 가장 중요하지만, 이를 이용하는 고객들도 안전한 소프트웨어를 사용하도록 노력해야 한다. 그러나 아직 고객들은 공급망 공격 방어에 대한 심각성을 인지하지 못한다.

아크로니스 조사에 따르면 글로벌 기업의 53%가 “신뢰할 수 있는 알려진 소프트웨어를 사용하는 것 만으로도 공급망 공격으로부터 보호할 수 있다”고 답했다. 솔라윈즈, 카세야, 코드코브 등 세계적으로 신뢰받는 기업이 공격당해 많은 조직이 피해를 입었음에도 불구하고 이 같은 응답이 나왔다.

솔라윈즈 사고를 겪은 후 2021년 5월 미국 정부는 ‘국가 사이버 보안 개선에 관한 미국 행정 명령’을 내리고, 미국국립표준기술연구소(NIST)에 소프트웨어 공급망 보안을 강화하기 위해 표준, 절차 또는 기준을 포함시키도록 명령했다. 미국전기통신 및 정보청(NTIA)은 소프트웨어 공급망 투명성을 높이기 위한 소프트웨어 재료 명세서(SBOM)를 위한 최소 요소를 게시했다.

SBOM은 오픈소스·상용 소프트웨어에서 사용하는 모든 구성요소를 명시하도록 한 것으로, 제조분야에서 사용하는 재료 명세서(BOM)를 소프트웨어에 적용한 것이다. 소프트웨어 개발에 사용한 구성요를 공개 함으로써 고객은 소프트웨어 위험을 평가하고 취약성과 라이선스 분석을 수행할 수 있다.

대부분 애플리케이션을 개발할 때 오픈소스 라이선스에 따라 사용한 오픈소스 목록을 공개하도록 되어 있지만, 유명 상용 애플리케이션조차 이를 제대로 지키지 않는다. 개발자들이 자신이 사용한 모듈을 밝히면 게시하고, 밝히지 않으면 게시하지 않는 식으로 넘어가는 경우가 많다. 라이브러리로 제공되는 써드파티 개발 소스, 임시 계약직인 개발자가 개발한 소스 등은 관리가 더 어렵다.

배환국 소프트캠프 대표는 “공급망 보안은 기술보다 관리와 방법, 절차가 필요하다. 현재 기업에서 사용하는 소프트웨어 패치를 위해 이메일, 웹하드, USB 등을 사용하지만, 수령한 패치 모듈을 검사하는 과정이 거의 없는 실정이다. 전자금융감독규정에서 설치·패치되는 모든 프로그램을 검증하고 관리할 것을 명시하고 있지만, 제대로 시행되고 있지 않다”고 지적했다.

소프트캠프는 패치파일이나 외부에서 개발된 소스코드의 변화 정도를 추적해 공급망 공격 가능성을 낮추는 ‘엑스스캔(EX-Scan)’을 제공한다. 위협분석 전문기업 엔키와 설립한 합작법인 엑스스캔에서 서비스하며, 패치파일이나 외부 개발 파일을 내부에 적용할 때 새롭게 패치 모듈에 삽입된 기능을 점검해본다. 만일 패치파일에 비정상적으로 너무 많은 기능이 변경됐거나, 통신·서비스 설치·드라이버 설치 등 악용 가능한 기능이 있으면 화이트해커가 개발사에 연락해 새롭게 삽입된 기능의 상세 내용을 확인한다.

배환국 대표는 “엑스스캔은 공급망 보안의 핵심인 보안관리 서비스를 제공하며, 위협분석 전문기업과 협력해 지능적인 공급망 공격 위협을 완화할 수 있다. 서비스로 제공되는 엑스스캔은 우리나라뿐 아니라 해외 에서도 충분히 수요가 있을 것으로 기대하고 있다. 일본, 미국, 유럽에 등록된 특허를 기반으로 글로벌 소프트웨어 공급망 보안에 새로운 해법을 제시할 것”이라고 말했다.

RASP로 운영 환경 이상징후 탐지

소프트웨어 개발·테스트·배포 과정에서 다양한 취약점 점검 툴을 이용해 취약점을 제거했다 해서 공급망 공격으로부터 안전한 것은 아니다. 취약점 툴이 발견하지 못한 알려지지 않은 악성코드가 있을 수 있기 때문이다. 소스코드 없이 납품되는 바이너리 코드를 완전히 분석하지 못할 수도 있고, 도커나 서버리스 컴퓨팅과 같은 새로운 클라우드 개발환경에 잠입한 공격을 탐지하지 못할 수도 있다.

그래서 임퍼바는 애플리케이션이 운영되는 과정에서 스스로 이상행위를 탐지하는 RASP가 공급망 공격 방어에 도움이 된다고 강조한다. RASP는 애플리케이션 내에서 동작하기 때문에 시스템 변경이 필요 없고, 정확하게 이상행위를 탐지할 수 있다. 오픈소스, 써드파티 코드에 숨은 이상행위, 도커 이미지의 이상행위 등 SAST·DAST에서 탐지하지 못하고 배포된 애플리케이션의 위협도 탐지할 수 있다. RASP는 NIST SP(Special Publication) 800-53 Rev5에 등록돼 미국 정부기관이 정보보호 시스템을 도입할 때 RASP 도입을 검토할 수 있게 됐다.

임퍼바 기술파트너인 진네트웍스의 박종필 상무는 “오픈소스 취약점 현황을 분석한 전문기업의 보고서를 보면, 개발자 2000명 대상 설문조사에서 79%가 ‘오픈소스 취약점을 점검한 적 없고, 패치를 업데이트 한 적도 없다’고 답했다. 그 이유로 시스템이 문제 없이 운영되고 있으면 업데이트를 하지 않을 한다는 것을 들었다. 업데이트 시 발생할 수 있는 장애·오류를 우려하기 때문”이라며 “RASP는 애플리케이션이 스스로 이상행위를 찾기 때문에 패치되지 않은 취약점이나 제로데이 공격을 방어할 수 있다”고 설명했다.

공급망 공격도 APT 공격의 한 방법이기 때문에 사이버 위협 인텔리전스(CTI)로 위협 정황을 파악하고 대응할 수 있다. 특히 솔라윈즈, 카세야, 코드코브처럼 전 세계에 영향을 미치고자 한 공격의 경우, CTI를 이용해 신속하게 조치를 취할 수 있다.

맨디언트는 전 세계 보안·인텔리전스 전문가가 수집한 위협 정보를 이용해 공급망 공격에도 빠르게 대응할 수 있다고 강조한다. 맨디언트 인텔리전스는 공격 잠복 추적, 공격 포렌식, 악의적 인프라 재구성 및 공격자 식별 프로세스를 통해 공격자를 조사하며, 공격자의 행동과 동기, 최신 전술·기법·절차를 깊이 이해해 효과적인 위협 추적 연습과 침해지표를 제공할 수 있다.

이하오 림 맨디언트 고문은 “공급망은 단일 기술로 보호할 수 없으며, 에코시스템 내 모든 협력사의 보안 환경을 통제해야 한다. 공급망 보안을 위해 제시할 수 있는 보다 현실적인 솔루션은 보안팀이 긴밀히 협력하는 공급업체에 대한 보안 평가를 고려하고 협력사가공급망에 가진 잠재적 위험요소를 식별하는 것”이라고 말했다.