본문 바로가기

보안 이야기

소프트웨어 공급망 공격, 어떻게 대비하고 계신가요?

안녕하세요. 소프트캠프입니다.

최근 KISA를 비롯한 전문기관에서는 코로나19의 대유행을 이용한 사이버범죄자 활동이 증가하여 사이버상의 새로운 위협을 초래하고 있다고 경고합니다. 히, 소프트웨어 공급망 공격이 새로운 사이버 보안 위협으로 떠오르면서 국내 소프트웨어 기업에 주의를 요구하고 있습니다.

지난번 포스팅에서 다루었듯, 본격화된 원격근무의 확산 등으로 인하여 올해는 더욱 다양하고 정교한 방식으로 해당 형태의 공격이 창궐할 것으로 보입니다. 최근 사이버 공격자는 기업의 디지털 전환 과정에서 과거보다 넓어진 공격 표면을 적극적으로 활용하고 있으며, 특히 기업 네트워크 외부에 있는 재택근무자나 원격학습자 등을 노린 뒤 기업의 주요 시스템이나 소프트웨어 공급망 등으로 침투하는 공격 역시 증가하고 있기 때문입니다.

한편 KISA에선 기업의 업무활동에 모바일 앱의 도입이 활발해지면서 소프트웨어 공급망 공격이 모바일까지 확대될 전망임을 발표한 바가 있습니다. 모바일 기기에는 미리 설치된 앱들이 PC에 비해 많고 삭제 또한 쉽지 않아, 모바일 앱 제조사뿐만 아니라 스마트폰 제조사도 공격의 대상이 될 수 있다는 점을 강조했습니다. 특히 스마트카나 의료기기와 같은 융합 서비스는 보안이 검증되지 않거나 보안에 대한 투자가 미비하여 기존 소프트웨어 공급망보다 공격에 취약할 것으로 보입니다. 이처럼 상대적으로 최신 기술을 사용하는 서비스의 경우 소프트웨어 업데이트 및 추가 설치가 쉽지 않기에, 기본적으로 설치된 소프트웨어가 악성코드에 감염되었을 경우 그 피해가 막대할 것으로 예상합니다.

지난번 주제에 이어 오늘은 다양한 방식으로 우리 일상을 위협하고 있는 소프트웨어 공급망 공격과 그 대응책에 대해 더욱 자세히 살펴보겠습니다.

▲ 소프트웨어 공급망 공격, 왜 위험한가

공급망 공격은 자사의 시스템 및 데이터에 접속할 수 있는 외부 협력업체나 공급업체를 통해 누군가가 시스템에 침투할 때 발생하는 형태의 공격이라하여 '서드파티 공격(3rd party attack)' 이라고도 불립니다. 그 중 소프트웨어 공급망 공격은 정상 소프트웨어를 배포하거나 업데이트하는 과정에 침투해, 이를 변조하거나 악성코드를 숨기는 공격 방식입니다.

소프트웨어 공급망 공격은 악의적인 행위자가 신뢰할 수있는 타사 파트너 또는 공급자의 소프트웨어에 설치된 멀웨어를 통해 조직의 시스템에 액세스 할 때 발생합니다. 이런식으로 오염된 업데이트 파일은 악성으로 탐지되지 않는 데다 한 번에 여러 기업과 사용자에게 악성코드를 유포할 수 있어 공격이 성공하면 피해 규모가 일반적인 위협에 비하여 그 규모가 훨씬 큰 것이 특징입니다.

소프트웨어 공급망 공격자는 합법적인 애플리케이션에 침투한 다음, 소스 코드를 변경하고 빌드 및 업데이트 프로세스에서 악성 코드를 더 많은 대상에게 자동으로 배포하려는 의도로 악성 코드를 숨깁니다. 이 공격에서 최초 피해자는 최종 목표가 아닌, 그 외 수많은 네트워트로 이동하기 위한 디딤돌이 될 뿐입니다.

이러한 유형의 공격은 사용자가 이미 관계가 있고 신뢰할 수 있는 공급 업체에서 만든 소프트웨어를 업데이트 할 때 발생합니다. 대상 조직의 사이트에 악성 코드가 설치되면 신뢰할 수 있는 애플리케이션과 동일한 권한으로 실행되고, 감염된 애플리케이션의 인기에 따라 소프트웨어 공급망 공격은 많은 수의 피해자에게 도달할 수 있습니다. 이 때 신뢰할 수 있는 공급 업체는 고객에게 악성 코드를 보내고 있다는 사실을 인지하지 못합니다.

 

▲단기간 많은 피해 일으키는 소프트웨어 공급망 공격

소프트웨어 공급망 공격의 국내 사례로는, 지난해 위즈베라의 베라포트 공인인증서 모듈을 위조한 공격이 탐지된 사건이 있습니다. 공격자들은 국내 보안기업의 미국 지사에서 인증서를 탈취해 베라포트가 배포되는 웹사이트에서 트로이목마가 포함된 베라포트 모듈이 배포되도록 했습니다.

베라포트는 ‘통합 설치 관리 솔루션’으로, 사용자가 인터넷 뱅킹 등을 할 때 필요한 각종 보안 플러그인을 한 번에 설치할 수 있게 해주는 기능을 제공합니다. 사용자 입장에서는 각각의 플러그인을 하나씩 내려받아 설치하는 번거로움을 줄여줘 PC로 인터넷 뱅킹을 이용하는 국내 사용자라면 누구나 PC에 설치되어 있는 솔루션인데요. 베라포트 공격 시 해커는 코드를 변조한 악성 소프트웨어를 정상인 것처럼 위장하기 위해 불법으로 유출한 코드사인 인증서를 사용했으며, 이 인증서 중 하나는 국내 보안회사의 미국 지사가 발급한 것으로 나타났습니다.

또한 아이콘이나 파일 이름 역시 실제 국내에서 쓰이는 보안 소프트웨어와 유사하게 제작해 사용자들을 속일 수 있었습니다. 명령제어 서버는 or.kr, co.kr 등 한국 도메인을 주로 이용했으며, 특히 ermpas(엠파스 사칭), ikrea(이케아 사칭) 등으로 눈을 속이는 주소를 이용했습니다. 이렇게 해커는 사용자 PC에 설치된 악성 소프트웨어는 명령제어 서버와 통신하면서 추가적인 명령을 내려받고, 사용자 PC의 시스템 파일을 유출했습니다.

한편, 근래 가장 대표적인 사건은 미국 IT 솔루션 기업 솔라윈즈(SolarWinds)의 IT 관리 솔루션 ‘오리온(Orion)’의 업데이트 파일을 감염시킨 사건인데요. 해당 솔루션을 사용하는 미국의 주요 대기업 및 정부기관은 물론이고 수많은 글로벌 기업으로까지 영향을 주었죠. 또한 피해 업체 중 글로벌 보안 기업 파이어아이가 포함되었다는 사실은 모두를 놀라게 했습니다. 더욱 자세한 내용은 지난 회 포스팅을 참고해주시길 바랍니다.

소프트웨어 공급망 공격은 단기간에 많은 피해를 입힐 수 있는 공격으로, 동시에 많은 기업을 공격할 수 있다는 점에서 공격자들이 선호하는 유형의 공격입니다. 솔라윈즈 해킹 사례만 보더라도 공급망 공격은 최초 피해 기업, 이들의 고객, 이 고객의 고객 등 광범위한 영역에 일시에 침해를 일으키며 최대 보안위협으로 자리잡았습니다. 더욱이 문제는, 이러한 공급망 공격은 굉장히 높은 성공률을 보이지만 탐지되기는 어렵다는 점입니다.

 

소프트웨어 공급망 보안을 위한 새로운 해법, EX-Scan

 

소프트캠프의 EX-Scan은 고객사 내에 3rd Party 소프트웨어 공급 업체를 통하여 배포, 설치, 패치되는 모든 프로그램의 위협요소를 사전 관리하는 솔루션입니다. 공격자 관점에서 고객사의 정보 자산 취약점을 식별하고, 악성코드를 분석 탐지하여 협력사를 포함한 3rd Party 소프트웨어 공급 업체의 잠재적 위험으로부터 고객사와 최종 사용자를 보호합니다. 또한 정적분석과 위험 행위패턴 사용 분석을 통해 설치 프로그램에 대한 타당성과 이상 징후를 검사하여 신뢰할 수 있는 패치 업데이트를 보장할 수 있습니다.

 

EX-Scan

프로그램의 안전한 전달 서비스

전문가 컨설팅 서비스

• End-to-End 안전한 전달
• 다중 바이러스 검사 및 기존 파일의 최신 검사
• 악성 행위 의심 항목 검사
• 기존 파일과의 변경도 측정
• 패치 이력 관리
• 안전한 패키지화를 통하여, 내부망에서 언팩하여 사용

• 탐지된 악성 행위 의심 항목에 대한 설명과 개발 방안 가이드
• 고객사를 대신하여 SW개발사에 대한 상담 수행
• 어려운 기술적인 부분을 고객사에 쉽게 설명

 

안전하지 않은 공급 단계를 표적으로 삼는 소프트웨어 공급망 공격은 조직과 개별 부문, 전체 산업에 막대한 영향을 끼치고 있습니다. 공격자는 신뢰할 수 있는 애플리케이션이나 계약자, 공급자 기업에 침투한 후 더 큰 조직으로 들어가는 통로로 활용하기에 일반적으로 보안이 허술한 중소기업을 노려 가장 약한 고리의 공급망(중소기업)에서 공격을 시작하는 경우가 많습니다. 이러한 관점에서 이제 기업은 ‘우리 회사 네트워크’만 관리하는 게 아니라 협력 업체, 관계사, 고객사까지 전부 고려해야 하는 때가 되었습니다. 하지만 공급망에 포함된 모든 사람과 조직들을 관리하는데 투입되는 리소스, 그리고 허점에 대한 대책 마련에는 아직 해답이 없는 것이 현실입니다.

EX-Scan은 소프트웨어 개발사와 고객 간에 상호 신뢰할 수 있는 안전한 공급체계를 제공하고, 다중 바이러스 검사와 악성코드 감염 의심 여부를 검사 및 보안 전문가의 분석 및 검토 서비스 제공으로 소프트웨어 공급망 보안에 새로운 해법을 제시할 예정입니다. EX-Scan 도입으로 소프트웨어가 전달되고 공급되는 과정에 안정적인 공급망 보안 유지 체계를 확립하세요.