[데이터넷] 소프트웨어 공급망이 공격자들의 중요한 먹잇감이 되고 있다. 복잡한 공급망의 한 지점만 침투하면 공급망에 연결된 모든 조직을 공격할 수 있기 때문이다. 보안에 소홀한 SW 개발사, 깃허브와 같은 코드 저장소, 오픈소스 취약점 등은 공급망 공격에 매우 취약하다. 대형 글로벌 기업의 코드서명 인증서가 탈취도 공격에 악용되고 있기도 하다. 소프트웨어 공급망 공격 동향을 분석하고, 필요한 대안을 제안한다.<편집자>

소프트웨어 공급망 공격으로 감염시킨 소프트웨어를 또 다른 공급망 공격에 이용한 공격이 발생했다. 공격자는 금융관련 솔루션을 공급하는 트레이딩 테크놀로지스의 금융거래 소프트웨어 ‘엑스트레이더(X_TRADER)’에 악성코드를 주입했으며, 이 소프트웨어를 내려받은 3CX 직원이 감염됐다. 공격자는 이 직원을 이용해 ‘3CX 데스크톱 앱(3CX DesktoppApp)’의 업데이트 파일을 감염시켜 유포시켰다.

감염된 엑스트레이더의 디지털 인증서는 2022년 10월 만료된 것으로 나타나는데, 시만텍 엔터프라이즈는미국, 유럽 에너지 부문 중요한 인프라 조직과 금융 관련 기관 등에서도 감염된 엑스트레이더가 발견됐다고 밝히면서 3CX 외에 다른 피해가 진행되고 있을 가능성을 언급했다.

보안업계에서는 3CX가 항공우주, 의료 등 다양한 분야 60만명 이상 고객, 1200만명 이상 조직이 사용하는 VoIP 솔루션 기업이라는 점을 들어 ‘제 2의 솔라윈즈’가 될 것이라고 경고하기도 했으며, 그 이상의 피해를 입힐 수 있을 것이라는 우려의 목소리를 내기도 했다.

무브잇 공급망 공격 ‘현재 진행중’

파일전송 솔루션 무브잇(MOVEit)으로 인한 피해가 미국 에너지부를 포함한 여러 정부기관과 콜로라도 보건 정책·재정부(HCPF) 등 보건·의료 기관, 영국 항공사 브리티시 에어웨이즈, 통신 규제기관 오프콤, 석유 대기업 셸, BBC 등으로 확산되고 있다.

레코디드퓨처는 피해 기업 중 미국의 초우라늄 폐기물 처리 저장소인 폐기물 격리 파일럿 플랜트(Waste Isolation Pilot Plant)도 포함돼 있다고 설명했다. 미국 존스 홉킨스 대학의 경우, 직원과 학생, 환자 정부 일부에 공격자가 접근한 흔적이 발견되기도 했다.

이 사고는 소프트웨어 기업 프로그레스의 파일전송 관리 프로그램 무브잇 트랜스퍼와 무브잇 클라우드에서 무단 액세스가 가능한 취약점 CVE-2023-34362(5월 31일), CVE-2023-35036(6월 9일)이 공개되면서 공식화되기 시작했으며, 프로그레스는 48시간 내에 보안 패치를 배포했다. 그럼에도 불구하고 패치를 하지 않은 시스템을 대상으로 공격이 이어지고 있다.

랜섬웨어 공격그룹 클롭이 이 취약점을 이용해 공격 범위를 넓히고 있는 것으로 알려지며, 피해기관은 날이 갈수록 늘고 있다. 가장 처음 공개된 희생자는 급여 서비스 제공 사업자 젤리스(Zellis)였다. 체크포인트는 공격자가 다크웹 게시물을 통해 “(피해기업의) 데이터는 안전하다”고 밝히며 회사에 영향을 주지 않기 위해서는 몸값을 지불해야 한다고 협박하고 있다고 설명했다.

지난해 SW 공급망 공격, 1000만명 이상 피해

복잡한 소프트웨어 공급망 중 몇 지점만 해킹하면 대규모 공격이 가능한 소프트웨어 공급망 공격은 매우 위험한 공격 유형으로, 최근 몇 년간 급속도로 공격 빈도가 높아지고 있다. 비영리기관인 신원도용자원센터(Identity Theft Resource Center)에서는 지난해 공급망 공격으로 1000만명 이상 피해를 입었고, 1743개의 엔티티가 영향을 받았다고 밝혔다.

소프트웨어 공급망 관리 전문기업 소나타입은 지난 3년간 이 공격이 연평균 742% 증가했다고 설명했으며, 레드햇 조사에서는 응답자의 69%가 취약한 애플리케이션 구성요소로 인해 공격을 당했다고 답했으며, 62%는 SBOM이나 출처를 알지 못한 코드로 인해 공격을 받았다고 밝혔다.

특히 3CX와 같은 연쇄적인 공급망 공격이 발생하면 그 영향은 걷잡을 수 없이 퍼질 수 있다. 사용자가 많지 않고 보안 준비가 잘 되지 않은 소프트웨어를 이용해 첫번째 공격을 하고, 이 소프트웨어를 사용하는 대규모 서비스 기업을 감염시켜 그 서비스를 이용하는 고객에게 침투하는 공격이 앞으로 성행하게 될 것으로 보인다. 이 방식은 광범위한 피해를 입힐 수 있어 공격자 입장에서는 적은 비용으로 큰 수익을 얻을 수 있게 한다.

이호석 SK쉴더스 이큐스트 랩(EQST Lab) 담당은 “연쇄적인 공급망 공격은 앞으로 더 많이 등장할 것으로 예상된다. 예를 들어 A사가 공급망 공격을 당해 소프트웨어가 감염됐을 때, 협력사인 B사의 직원 C가 A사에서 일하다가 감염되고, C가 본사인 B사를 감염시키고, B사의 다른 직원들이 감염돼 그들의 고객과 협력사를 감염시키는 연쇄 공격이 가능하다. 만일 B사가 많은 고객사에 서비스를 하는 회사라면 그 고객들을 한번에 감염시킬 수 있는 효과적인 방법이 될 수 있다”며 “업무에 많이 사용되는 소프트웨어를 이용한 다양한 형태의 공급망 공격이 올해 하반기 늘어날 것으로 보인다”고 말했다.

공급망 보안 의무화 한 미국 행정명령

대표적인 공급망 공격인 솔라윈즈 사고의 경우, 미국 주요 정부기관, 포춘 500대 기업, 글로벌 사이버 보안 기업 등 1만8000여 조직이 피해를 입었다. 특히 이 사고로 사이버 보안 기업 파이어아이의 레드팀 도구가 도난당했는데, 이 도구에는 미국 주요 정부기관의 취약점을 점검하는 기능도 포함돼 있어 피해가 더 커졌다.

이 즈음 미국은 콜로니얼 파이프라인 랜섬웨어 공격 등 대규모 해킹사고를 겪었으며, 사이버 범죄 행위자들과의 전면전을 선포하는 한편, 미국 정부기관의 보안을 강화하기 위한 사이버 보안 행정명령(EO 14028)을 내렸다.

2021년 행정명령에는 소프트웨어 공급망 보안 강화를 위해 정부기관에 공급하는 모든 IT 제품에 강력한 보호 조치를 할 것을 담았다. 구체적으로 ▲개발환경의 안전한 구성 보장 ▲코드 소스를 신뢰할 수 있는지, 취약성이 수정되었는지 확인 ▲출시된 각 제품에 대한 소프트웨어 자재명세(SBOM) 보유 ▲취약성 공개 프로그램 참여 ▲안전한 개발프로세스 유지 ▲사용중인 오픈소스 소프트웨어(오픈소스) 무결성과 출처 데이터 유지 등의 내용이 담겼다.

특히 특권 액세스를 부여받은 크리티컬 소프트웨어를 정의한 후 안전한 소프트웨어 개발프레임워크(SSDF, SP800-218)와 소프트웨어 개발자 검증을 위한 최소 표준 지침(NISTIR 8397)에 따라 소프트웨어 보안성을 보장하도록 했다. 조직 내 모든 수준에서 사이버 보안 공급망 리스크 관리(C-SCRM)를 적용하도록 했다.

미국 표준기술연구소(NIST)와 통신정보관리청(NTIA) 등이 미국 정부 소프트웨어 공급망 보안 강화를 위한 여러 규정과 지침을 작성했으며, 2023년까지 모든 연방정부 기관은 이에 따른 공급망 보안 관리를 이행토록 했다.

공급망 보안 실증사업으로 기술 실용성 증명

우리나라에서도 소프트웨어 공급망 공격 시도가 다양하게 발견되면서 공급망 보안에 대한 관심이 높아졌다. KT 그룹 금융보안 계열사 이니텍이 배포하는 보안 소프트웨어 ‘이니세이프 크로스웹 EX’가 감염되는 등 여러 금융 보안 소프트웨어가 감염돼 공급망 공격을 시도했다.

우리 정부는 2019년 발표한 국가 사이버안보 기본계획 18개 중점과제 중 하나로 공급망 보안을 선정, 주요 공공기관에 도입되는 ICT 장비 공급망보안 관리체계 구축 계획을 밝혔다. 2021년 K-사이버 방역 추진전략을 통해 2023년까지 공공기관에 도입되는 소프트웨어의 안정성 점검과 공급망관리 도구 보급, 주요 소프트웨어 개발과 서비스 기업에 대한 개발환경 보안점검 지원·인증 제도 도입 등의 계획도 밝혔다.

지난해 제로 트러스트·공급망보안 포럼을 발족해 정책 개발을 위해 노력하고 있으며, 그 일환으로 10억원의 예산을 투입해 제로 트러스트와 공급망 보안 실증사업을 진행하고 있다. 공급망 보안 실증사업에는 스패로우와 소프트캠프의 자회사 레드펜소프트가 선정됐다.