[데이터넷] 소프트웨어 공급망 위협이 가장 큰 사이버 리스크가 되고 있다. 공급망 공격 영향을 받는 소프트웨어 패키지는 2019년 700여개에서 2022년 18만5000개로 늘어났고, 2023년에는 이보다 훨씬 더 많은 패키지가 공급망 위협에 직면해있다.

가트너는 2025년까지 전 세계 조직 45%가 소프트웨어 공급망 공격을 겪게 될 것이며, 이는 2021년보다 3배 증가한 것이라고 밝혔다. 주니퍼 리서치는 2023년 450억달러의 피해가 발생할 것으로 예측하고 있으며, 사이버시큐리티벤처스는 2025년까지 피해액이 600억달러, 2031년 1380억달러에 이를 것으로 예상했다.

스닉 후원으로 사이버시큐리티벤처스가 발간한 ‘2023년 소프트웨어 공급망 공격 보고서’에서는 이러한 조사자료를 인용하면서 소프트웨어 공급망 공격 대응책 마련이 시급하다고 설명했다.

올해 가장 큰 피해를 입힌 무브잇 취약점 공격의 경우, 전 세계 1000개 이상 조직이 랜섬웨어 피해를 입었으며, 최소 3800만명의 개인이 개인정보 유출 피해를 입었다. 파이썬 PYPI 패키지 저장소에는 악성코드가 포함된 패키지 400개 이상 업로드 돼 광범위한 피해를 입혔다.

소프트웨어 공급망 위협이 높아지면서 비즈니스의 새로운 기회를 만드는데 결정적인 요인으로 공급망에 대한 사이버 보안 강화가 지목되고 있다. 가트너 조사에서 최고 공급망 책임자 60%가 이같이 답했다.

기업 41% “오픈소스 신뢰수준 높지 않아”

공급망 위협이 높아지고 있지만, 개선 속도는 더디다. 스닉 조사에서는 조직의 41%가 오픈소스에 대한 높은 수준의 신뢰를 갖고 있지 않으며, 개발·사용을 위해 오픈소스 보안 정책을 구현하는 곳은 절반도 되지 않았다.

공급망 공격은 가장 약한 링크를 이용한다. 특히 핵심 인프라와 운영 파이프라인을 구성하는 소프트웨어, 온라인 서비스, 클라우드 애플리케이션에서 보안이 취약한 곳을 통해 침투하고 있다. 취약한 구성요소, 보안 대응이 마련되지 않은 클라우드 환경, 내부자 위협, 개발자와 보안조직의 협업 실패 등이 악용된다. 비즈니스 프로세스와 개발주기에 사용되는 도구의 수가 너무 많아서 IT 팀이 사용중인 중요 구성 요소를 파악하지 못하는 것도 취약점으로 이용된다.

공격자는 사회공학 기법을 이용한 피싱이나 도난당한 자격증명, CI/CD 파이프라인 취약점을 이용한 침투, 알려졌거나 알려지지 않은 취약점, 오픈소스 구성요소와 종속성, 타이포스쿼팅 등 다양한 방법을 이용한다. 클라우드 플랫폼과 기술을 이용해 개발속도를 높이면서 이 환경을 노리는 공격도 늘어난다. 스닉 조사에서는 조직의 80%가 클라우드에서 한 번 이상 심각한 보안 사고를 겪은 것으로 나타난다.

공급망 공격 방어를 위해서는 데브섹옵스를 도입해 워크플로우 내에 보안검사를 통합해야 하며, 개발조직, 보안조직, 운영조직의 긴밀한 소통이 필요하다. 오픈소스를 이용한 공격 빈도가 증가하고 있지만, 오픈소스를 안전하게 운영한다고 해서 모든 공격 위협을 차단할 수 있는 것도 아니다.

기술을 더 빠르게 구축할 수 있는 현재 상황에서 빠른 속도를 유지하면서 보안과 규제준수 요건을 만족할 수 있는 프로세스를 마련해야 한다. 보고서에서는 정부는 강력한 규제를 만드는 것 외에도 안전한 소프트웨어 사용과 운영을 위한 모범사례를 보여줘야 한다고 강조했다.

보고서는 KPMG의 CEO 대상 설문조사를 인용, “76%가 파트너 생태계가 공급망 보호를 조직의 방어만큼 중요하게 생각하고 있다”고 강조한 후 “공급망이든 공급업체든 상관없이 모든 링크에 대한 디지털 위협을 평가하고, 방어자와 비즈니스 리더, 개발조직과 보안조직의 협업을 늘려야 한다”고 말했다.

김선애 기자 다른기사 보기