[데이터넷] 무브잇 취약점을 이용한 랜섬웨어 공격 피해자가 8000만명을 넘어섰다. 이반티의 VPN에서는 취약점이 연이어 나오면서 국가배후 공격자와 다른 여러 공격자들의 공격에 이용되고 있다. CI/CD 애플리케이션 팀시티 취약점은 북한과 러시아 배후 공격자들이 악용하고 있으며, 우리나라 공공기관에서 사용되는 인증서 소프트웨어 취약점을 이용한 북한 배후 공격도 이어지고 있다.

모든 IT 시스템과 소프트웨어에는 취약점이 존재한다. 이를 이용하면 대규모 공급망 공격이 가능하다. 앞서 설명한 모든 사례가 지난해부터 올해 초까지 이어진 대규모 공급망 공격이다. 최근 공개된 모든 보안 전망 보고서에서 가장 위험한 공격으로 ‘공급망 공격’이 꼽혔다.

공급망 공격을 막으려면 제로데이 취약점을 빠르게 식별해 조치하고, 취약점이 공개되면 완화 방법을 적용해야 하며, 패치는 즉시 적용해야 한다. 그런데 너무 많은 취약점이 공개되고 있어 기업·기관은 취약점 조치 우선순위를 결정하지 못하며, 해당 취약점의 영향을 받는 시스템과 소프트웨어를 파악하지 못하고 있다. 게다가 패치의 취약점을 이용한 또 다른 공격에 노출되는 경우도 있으며, 패치 자체가 공급망 공격 도구로 사용되는 것도 있다.

SBOM만으로 SW 공급망 공격 못 막아

공급망 공격 대응 방법 중 하나로 소프트웨어 자재 명세(SBOM)가 제안되고 있으며, 국가정보원과 과학기술정보통신부는 곧 공개될 ‘ICT 공급망 보안 가이드라인’에서 SBOM 표준화 방안을 담을 예정이다.

미국은 공공기관 ICT 제품 공급 시 SBOM 제출을 의무화했으며, 2026년 시행 예정인 EU 사이버복원력법(CRA)에서도 SBOM 도입을 명시할 계획이다.

규제가 강화되면서 SBOM이 필수 솔루션으로 인정되고 있는데, SBOM만으로 소프트웨어 공급망 공격을 막을 수 있다는 오해가 있어 주의해야 한다.

전익찬 레드펜소프트 부사장은 “SBOM은 공급망 공격 대응을 위한 필수 솔루션이지만, SBOM만으로 공격을 막을 수 없다. 특히 SBOM을 오픈소스 소프트웨어 구성요소만 리스트업 하는 솔루션을 인식하는 것은 위험한 접근”이라며 “범용·상용 소프트웨어와 기업 내부 개발 소프트웨어, 의심스러운 구성요소와 취약점, 소프트웨어 개발사부터 유통·구축·유지보수 및 운영에 참여하는 모든 조직의 관점에서 공급망 공격 대응 방법이 마련되어야 한다”고 강조했다.

공격자 관점 공급망 보안 대책 필요

공급망 공격을 선제적으로 차단하기 위해 SAST, DAST, SCA 등 애플리케이션 보안 테스트 도구(AST)를 사용해 소프트웨어 개발·테스트 및 오픈소스 구성요소의 취약점을 제거해야 한다. 대부분의 SCA는 SBOM 생성 기능을 제공하며, 독립된 SBOM 솔루션도 공급되고 있다. 데브옵스에 보안을 결합한 데브섹옵스(DevSecOps)에서도 오픈소스 자재 명세 생성 기능을 제공한다.

이러한 기술은 소프트웨어 개발 완료 단계까지 지원하는데, 실제 공급망 공격은 소프트웨어 개발이 아니라, 운영 과정에서 발생한다. 안전한 소프트웨어를 개발했다 해도, 개발 중 발견하지 못한 취약점, IT 시스템에 구축·운영되는 과정에서 새롭게 발생한 취약점은 해결하지 못한다.

전익찬 부대표는 “공격자 입장에서 소프트웨어 공급망 공격을 생각해보면, 보안 점검이 실시간으로 이뤄지는 개발단계보다, 보안 취약점에 대한 즉각적인 대응이 어려운  운영단계 공격이 훨씬 더 효과적”이라며 “소프트웨어 도입과 운영 과정에서의 공급망 공격 대응 방법이 시급하다”고 말했다.

실제 운영환경 취약점 대응 지원

우리나라 기업·기관이 사용하는 소프트웨어는 내부 구축 혹은 전문 개발사가 맞춤형으로 개발해 공급하는 경우가 많다. 특히 SI로 진행되는 사업의 경우 SI 개발사의 전용 미들웨어를 기반으로 소프트웨어를 구축하는데, 소프트웨어를 이용하는 조직이 미들웨어의 취약점을 파악하기 어렵다.

SBOM은 소프트웨어 개발에 사용된 모든 구성요소를 리스트업하는데, 구성요소 중 오픈소스 코드는 공식 커뮤니티를 통해 취약점 정보를 알 수 있지만 소프트웨어 개발사가 직접 개발한 코드에 있는 취약점은 해당 개발사가 공개하지 않으면 알 수 없다.

전 부대표는 “고가의 보석을 구입할 때, 감정서가 있다 해도 소비자가 별도로 전문 감정사에 의뢰해 해당 보석의 진위 여부를 판단한다. 소프트웨어 운영 시에도, 개발사가 안전한 소프트웨어를 공급했다 해도 수요기업이 해당 소프트웨어의 안전성을 다시 한 번 검증하는 것이 안전하다”고 강조했다. 

제로 트러스트 원칙 SW 도입 지원

레드펜소프트는 소프트웨어 수요기업이 ‘제로 트러스트’ 원칙으로 소프트웨어를 도입할 수 잇는 ‘엑스스캔(XSCAN)’ 서비스를 제공한다. 엑스스캔은 공격자가 공급망 공격에 이용하는 방법을 연구했으며,개발 완료된 소프트웨어의 구성요소를 리버스 엔지니어링으로 분석해 공격에 악용될 소지가 있는지 여부를 조사한다. 의심스러운 구성요소는 개발사가 소명하도록 하거나 조치하도록 해  무결성이 검증된 소프트웨어만 도입할 수 있게 돕는다.

미국 CISA의 KEV와 국제사이버사고대응포럼(FIRST)의 HEV를 지원하고, 가장 위험도가 높은 취약점부터 대응할 수 있게 한다. 실제 소프트웨어의 SBOM을 생성해 운영 환경의 취약점 관리를 용이하게 돕는다. 이 서비스는 군, 공공, 금융 등 다양한 산업군에 공급돼 보안 효과를 인정받았다.

전 부대표는 “레드펜소프트의 특허 기술은 소프트웨어를 완전히 분해해 분석하며, 컴포넌트 위변조나 바꿔치기, 의심스럽거나 위험한 속성을 식별하고, 실제로 공격에 악용될 수 있는지 확인한다”고 설명했다.

그는 “엑스스캔은 공급망 공격 방어를 위한 여러 단계 중 개발 완료된 소프트웨어를 도입하는 단계에서 보안성을 검증하는 솔루션이다. 공급망 공격 방어를 위한 여러 단계에서 필요한 기술을 함께 사용해 공급망 공격을 막을 수 있다. 레드펜소프트는 이러한 기술을 제공하는 여러 기업들과 협력해 안전한 소프트웨어 라이프사이클을 완성할 수 있도록 노력하고 있다”고 밝혔다.