사이버보안 이슈, 공급망 공격(Supply Chain Attack)의 대응 방안_게이트엑스캐너

    제품 이야기 2018.11.19 14:08


    강력한 보안을 구축한 환경이더라도 

    업무상 외부 문서나 패치 파일을 내부로 반입해야 하는 상황이 빈번하게 발생합니다.


    다양한 보안위협 대응을 위해 지속적인 보안패치가 필요한데,

    패치 파일에 대한 안정성을 확보하기는 어렵습니다.

    최근에는 외주 개발사를 통합 공급망 공격(Supply Chain Attack) 증가로

    패치 파일에 대한 보안 검증이 점차 중요해지고 있습니다.


    이번 포스팅에서는 사이버보안 이슈인 공급망 공격과 피해사례,

    대응 방안으로 외부 유입파일 검증시스템에 대해 담아보았습니다.



    ㅣ 사이버보안 이슈, 공급망 공격(Supply Chain Attack)

     


    기업, 공공기관, 금융기관들은 다양한 보안솔루션과 업무시스템을 사용하게 되면서

    업무 환경이 복잡해지고, 관리 요소들이 많아졌습니다.


    이런 다양한 솔루션과 시스템 운영을 위해

    외부 협력업체로부터 들어오는 파일들을 내부망으로 받을 수밖에 없는데,

    기본적으로 협력업체와 주고받는 파일은 신뢰성을 바탕으로 하기 때문에

    그에 의한 공격에는 취약해질 수밖에 없습니다.

    최근에는 이런 점을 악용하는 공급망 공격이 사이버보안의 큰 이슈입니다.



    <일반적인 공급망 프로세스>


    공급망(Supply Chain)은 제품이나 서비스가

    공급자로부터 소비자에게 전달되기까지의 조직, 사람, 정보, 자원 등에 대한 시스템입니다.


    IT 시스템인 S/W나 H/W 배포와 비교하자면,

    우선 S/W에 대한 소스코드, H/W 설계도(Raw material)를

    개발업체 또는 제조업체(Supplier, Manufacturer)를 통해 개발하고

    사용자(Customer, Consumer)에게 배포(Distribution) 하는 과정을 거치게 됩니다.


      공급망 공격(Supply Chain Attack)

      공급망에 침투하여 사용자에게 전달되는 S/W나 H/W를 변조하는 형태의 공격을 말한다.

      예를 들어, S/W 개발사의 네트워크에 침투하여 소스 코드를 수정하여

      악의적인 목적의 코드를 삽입한다거나, 배포를 위한 서버에 접근하여

      파일을 변경하는 방식의 공격을 말한다.

      대표적인 공격 방식은 빌드/업데이트 인프라 변조, 인증서나 개발 계정 유출을 통한 변조,

      하드웨어나 펌웨어의 변조, 악성코드에 감염되어 있는 제품 판매가 있다.


      ※ 출저 : KISA 사이버 위협 동향 보고서(2018년 2분기)

                   https://www.krcert.or.kr/data/reportView.do?bulletin_writing_sequence=27407


    공급망은 정상 프로그램을 전달하는 통로입니다.

    즉, 공급망 공격은 정상 프로그램 전달 통로인 공급망을 이용하여

    악성코드가 감염된 프로그램이 전달되기 때문에 감염 여부를 판단을 하기가 어렵습니다.



    ㅣ 공급망 공격(Supply Chain Attack) 사례



    ▲ 우크라이나 낫페트야(NotPetya) 공격

    2017년 6월 우크라이나에서 주로 사용되는 회계 프로그램 랜섬웨어 공격으로

    우크라이나 내 기업, 기관 등에서 많은 피해들이 발생하였습니다.

    공격자는 우크라이나에서 주로 사용되는 회계 프로그램 MeDoc 업데이트 서버를 변조하여

    프로그램 업데이트를 할 경우, 낫페트야(NotPetya) 악성코드가 전달되도록 설정하였습니다.

    감염된 사용자가 돈을 지불하더라도 기술적으로 복구할 수 없으며,

    디스크 파괴를 목적으로 하는 형태의 악성코드였습니다.


    ▲ 넷사랑 소프트웨어 패키지 쉐도우패드(Shadowpad) 발견

    2017년 8월 넷사랑은 금융, 교육, 통신, 제조, 에너지, 교통기관 등 여러 기관에서

    윈도우, 유닉스, 리눅스 서버를 관리하는데 사용되고 있는 소프트웨어 패키지가

    변조되었다는 긴급 공지를 하였습니다.

    배포된 소프트웨어 패키지에 삽입되어 있는 쉐도우패드(Shadowpad)는 매우 정교한 악성코드이며,

    감염된 호스트에 모듈 형식의 필요한 기능을 추가하는 방식의 악성코드입니다.

    공격을 시작하기 전에 조치가 되어 큰 피해가 발생하지는 않았지만, 

    공급망을 이용한 공격이 얼마나 큰 피해를 줄 수 있는지 보여준 사례입니다.



    ㅣ 외부 유입파일 검증시스템, 게이트엑스캐너(GateXcanner)

    <게이트엑스캐너(GateXcanner) 프로세스>


    공급망 공격은 공급자의 신뢰성을 악용해 사이버공격 성공률을 증가시킵니다.

    사용자에게 신뢰를 얻은 공급자가 제공하는 외부 파일은 신뢰를 얻었기 때문에

    마음 놓고 사용하는 경우가 많습니다. 하지만 이 점을 이용하여 사이버 공격을 한다면, 

    사용자는 속수무책으로 당할 수밖에 없습니다.


    소프트캠프는 이러한 공급망 공격의 대응 방안으로

    외부 유일파일 검증시스템인 게이트엑스캐너(GateXcanner)를 제공하고 있습니다.


    게이트엑스캐너(GateXcanner)는 USB, CD, 외장하드 등과 같은

    외부 저장매체로 외부 파일을 반입할 때,

    파일에 대한 바이러스, 펌웨어, 파일 속에 숨어있는 악성코드 등을 검증하고

    안전한 파일만 내부로 반입하는 키오스크 시스템입니다.


    ▲ 게이트엑스캐너(GateXcanner) 운영 방식

    01. 반입 요청자의 사용자 인증

    02. USB, CD, 외장하드 등 외부에서 들어오는 저장매체 삽입

    03. 파일에 대한 백신 검사와 문서/패치/펌웨어 등 파일 유형별 무결성 검증

    04. 안전함이 확보된 파일만 광디스크(CD)로 제작해 내부로 반입

    05. 모든 과정에서 사용자 및 유입파일 이력 자동 생성


    ▲ 게이트엑스캐너(GateXcanner) 특장점

    <게이트엑스캐너(GateXcanner) 특장점>


    보안운영체제 구름 OS, 보안성 확보

    국가보안기술연구소에서 개발한 신뢰체인 기반의 구름 OS 탑재

    내부망, 제어망 보안 규정 준수

    [산업부] 정보보호시스템 관리운용망 보안대책(2017.05)

    [행안부] 주요 정보통신 기반시설 보호지침(2017.09)

    외부 보안위협 대응

    외부 유입파일 내 악성코드와 외부 개발사의 패치 파일에 대한 위협 요소 탐지, 관리

    사용 및 관리 평의성

    사용자 이력 자동 생성, 결과물 자동 제작으로 관리자와 사용자 편의성 향상


      구름 OS는 클라우드 업무환경에 대비해 오픈소스를 활용하여 국내 기술로 개발한

      신뢰체인 기반의 운영체제로서 부팅부터 실행단계까지 안전한 실행 환경을 제공합니다.

      커널 및 실행 파일에 대한 무결성 검증으로 악성코드가 유입되어도

      근본적으로 차단하는 보안이 강화된 운영체제입니다.


    ▲ 적용 대상

    -   내부 보안이 중요한 국가기반 시설 관리 조직, 국방부

    -   망분리 환경에서 내부망 보안을 강화해야 하는 조직

    -   클린 PC 체계를 편리하게 변경하고자 하는 조직

    -   패치 파일에 대한 안전한 관리가 필요한 조직





    티스토리 툴바