IT 관리 SW·MSP 이용 피해 확대…시큐어 SDLC·SW 공급망 생태계 전반 보안 강화 시급
[데이터넷] 2021년이 저물어가고 있다. 올 한해도 많은 사이버 보안사고가 발생했다. 올해 전 사회에 보안 경고를 울린 ▲Log4j 취약점 ▲솔라윈즈·카세야 공급망 공격 ▲OT 타깃 랜섬웨어 ▲다크웹 개인정보 공개 ▲사회 이슈 악용 공격 등을 짚어본다.<편집자>
2020년 12월 파이어아이가 해킹을 당했다고 발표했다. 이어 미국 국토안보부 등 여러 정부기관과 마이크로소프트 등 IT 기업들이 피해 사실을 인정했다. 이 공격은 솔라윈즈의 IT 관리 솔루션 ‘오리온’ 업데이트에 선버스트 악성코드를 심어 유포한 것으로, 러시아 배후의 ‘코지베어’ 그룹 소행으로 알려진다. 마이크로소프트는 이 공격에 1000명 이상 유능한 엔지니어들이 참여했을 것으로 분석하기도 했다.
솔라윈즈 사고 여파가 사라지지 않은 2021년 7월 또 다른 IT 관리 소프트웨어 기업 카세야도 공급망 공격에 이용당한 사실이 알려졌다. 카세야 VSA 소프트웨어를 통해 소디노키비 랜섬웨어가 유포됐는데, 소디노키비 바이너리는 가짜 윈도우 디펜더 앱을 통해 로드됐고, 이는 정상 디펜더의 실시간 모니터링을 비활성화했다.
이 공격은 카세야를 사용하는 고객 뿐 아니라 매니지드 서비스 사업자(MSP)를 통해 이들의 서비스를 받는 수많은 중소기업에 피해를 주었다.
2021년 말에는 자바 기반 로깅 유틸리티 로그포제이(Log4j)에 심각한 취약점이 발견됐으며, 이를 이용한 랜섬웨어, 크립토마이닝, 사이버 스파이 공격이 진행되고 있다. 로그포제이 취약점이 계속 새롭게 발견되고 있어 이 취약점 대응이 매우 어려운 상황인데, 원격코드 실행 취약점 CVE-2021-44228·CVE-2021-45046·CVE-2021-4104·CVE-2021-44832, 서비스 거부 취약점 CVE-2021-45105 등이 발견됐다.
과학기술정보통신부는 이 취약점 문제가 장기화되면서 공급망 공격 위험이 높아지고 있다고 설명했는데, 취약점을 가진 라이브러리리 광범위하게 사용되고 있어 식별이 쉽지 않으며, 직접 개발하지 않은 써드파티 제품은 벤더가 보안 업데이트를 제공해야 해 상당한 시간이 걸린다고 밝혔다. 자바 프로그램 특성 상 압축파일 안에 또 다른 압축파일이 있는 등 여러 단계로 구성되어 있어 하위 안계의 로그포제이 사용 여부를 파악하는데 상당한 어려움이 있을 것이라고 분석했다.
과기정통부는 “소프트웨어 공급망 보안 중요성이 부각되면서 소프트웨어 개발부터 유지관리까지 수요자 측면에서의 소프트웨어 개발 주기(SDLC) 전체의 보안 강화가 필요하다”고 강조했다.
모든 보안은 가장 취약한 링크 만큼 안전
공급망 공격은 다양한 방법으로 이뤄지지만, 최근 심각한 문제가 되는 것은 소프트웨어 공급망을 이용하는 것이다. 소프트웨어 개발 시 외부 라이브러리에서 코드를 가져오는데, 이 코드에 로그포제이 같은 취약점이나 백도어가 있으면 이 코드를 사용하는 모든 서비스가 공격을 당할 수 있다.
애플리케이션 현대화가 진행되면서 컨테이너 개발 환경이 확장되고, 악성코드·백도어가 포함된 컨테이너 이미지와 레지스트리를 사용해 공격을 당할 수 있다. 깃허브 등에서 찾을 수 있는 유명 개발자의 코드에 백도어를 심거나 API 취약점을 이용할 수 있다. 클라우드 보안 연합(CSA)은 컨테이너 이미지, 오케스트레이터, 레지스트리 등이 감염돼 공격에 이용당할 수 있다는 점을 경고했다.
솔라윈즈, 카세야 같은 IT 관리 소프트웨어를 이용하면 피해 범위를 무제한 확장할 수 있다. 이 솔루션을 직접 사용하거나 서비스하는 기업, 그 서비스를 이용하는 기업까지 피해를 입힐 수 있기 때문이다.
포브스는 2022년 사이버 보안 위협 전망 보고서를 통해 “모든 보안은 가장 취약한 링크만큼 안전하다. 즉 공급망의 모든 링크를 잠재적인 취약성으로 간주하게 될 것”이라고 밝히며 파트너를 통한 보안위협의 문제를 지목했다.
치명적인 소프트웨어 공급망 공격이 앞으로 더 성행할 것으로 전망되면서 미국의 사이버 보안 행정명령과 NIST 공급망 보호 지침이 발표되기도 했다. 소프트웨어 공급망 생태계 전반에서 보안을 강화하는 한편, 소프트웨어 재료 명세(SBoM)을 구축해 취약성을 모두 이해할 수 있어야 한다.
깃랩의 밥 스티븐스(Bob Stevens) 공공부문 부사장은 “CIO는 소프트웨어 공급망 보안을 위한 조치를 적극적으로 이행하고, 사이버 방어를 즉각적으로 강화하는 것이 필요하다”고 주장했다.
