누겟 개발자 생태계에 떨어진 폭탄, 자동화 기술로 만들어진 악성 패키지들

2022-12-15 14:19
  • 카카오톡
  • 네이버 블로그
  • url
공급망 공격이 제대로 자리를 잡았다. 이제 개발자 리포지터리와 오픈소스 요소들을 무작정 신뢰한다는 건 위험을 초대하는 것과 다름이 없다. 공격자들은 리포지터리들을 공략하기 위해 자동화 기술에 대한 투자도 아끼지 않는다.

[보안뉴스 문가용 기자] 닷넷 개발자들이 자주 사용하는 누겟(NuGet) 오픈소스 생태계에서 악성 패키지가 홍수처럼 쏟아지는 사건이 발생했다고 보안 업체 체크막스(Checkmarx)와 일러스트리아(Illustria)가 발표했다. 자동화 기술이 공격에 사용됐다고 하며, 표적이 되고 있는 건 누겟만이 아니라고 한다. npm과 PyPI 생태계도 공격 대상인 것으로 보인다. 결국 개발자들이 표적인 셈이다.


[이미지 = utoimage]

제일 먼저 공격자들은 자동화 기술을 활용해 패키지들을 대량으로 생산했다. 패키지 이름은 해킹이나 게임 치트, 무료 소프트웨어 등에 관심이 있는 사람들이 클릭해볼 법한 단어들로 작성됐다. 패키지 안에는 개인정보 등 여러 민감 정보를 훔치기 위해 만들어진 각종 피싱 사이트들로 들어가는 링크들이 포함되어 있었다. 공격자들은 이렇게 만들어진 패키지를 누겟 생태계에 살포했다.

개발자 생태계에 악성 코드를 흩뿌리는 일은 이제 흔하디흔한 일이지만, 이번 공격은 규모라는 측면에서 상당히 독특하다. 한 공격자 혹은 공격 단체가 무려 14만 4천 개의 패키지를 만들어 사용했기 때문이다. 여태까지 발견됐던 이런 종류의 캠페인들에서 사용되었던 패키지의 수는 많아야 수십~수백 정도였다. 체크막스의 공급망 엔지니어인 조세프 하루시(Jossef Harush)는 “자동화 기술로 이렇게까지 많은 악성 패키지를 사용하면 탐지가 매우 어려워진다”고 말한다. 

“악성 패키지의 수준이나 정교함 등과는 별개로, 이러한 수의 악성 패키지가 사용되고 있다는 것 자체로 이미 이 캠페인은 대단히 위험한 것이 되었습니다. 이런 규모의 숫자로 밀어붙이기만 해도 탐지와 제거가 매우 까다로워지기 때문입니다. 누군가 걸려들 확률도 그만큼 높아지는 것이고요. 개발자 개개인이 패키지를 다운로드 받을 때 꼼꼼하게 점검하는 것 외에는 효과적인 방어법이 떠오르지 않을 정도입니다.”

자동화, 방어자만이 아니라 공격자도 도와
하루시는 “투자라는 걸 꺼려하는 게 공격자들의 특성이지만 이번에는 자동화 기술에 제법 투자한 것으로 보인다”고 설명한다. “개발자들의 생태계를 효과적으로 오염시키려면 패키지의 숫자가 그 무엇보다 중요하다고 판단을 한 것으로 보입니다. 짧은 시간 내에 많은 패키지를 생성하려면 자동화 기술이 필요하다고 결론을 내렸겠고요. 돈을 쓰고 시간을 아끼는 편을 택한 것이죠. 스팸 메일 공격을 개발자 환경에서 한 것이라고 볼 수 있겠습니다.”

짧은 시간에 다량의 패키지를 생성해 공격에 활용했을 때의 또 다른 장점은 “탐지와 제거가 어려워 캠페인을 보다 긴 시간 진행할 수 있다는 것”이다. “투자를 조금 더 함으로써 보다 긴 기간 공격을 할 수 있다면, 그 자체로 효율성을 높인 거라고도 볼 수 있습니다. 공격자들도 여러 가지를 꼼꼼하게 계산해 봤을 겁니다.”

악성 패키지를 막아라
이런 공격을 막으려면 어떻게 해야 할까? 개발자 한 사람 한 사람의 꼼꼼함과 보안 의식에 기대는 수밖에 없을까? 하루시는 “피싱 공격 등 각종 수상한 행위에 대한 네트워크 모니터링과 직원 교육은 필수”라고 말한다. “오픈소스 생태계에서 패키지를 다운로드 받아 사용한다는 게 생각보다 위험할 수 있는 행위라는 걸 인지하고 있어야 합니다. 거기에 더해 소프트웨어 공급망 위협에 대비할 수 있게 해 주는 보안 도구들을 조사해 적용하는 것도 적극 검토해야 합니다.”

하루시는 이번 사건만이 아니더라도 공급망 공격은 이미 현대의 디지털 환경에 안정적으로 정착한 요소이니 조직들은 방어력을 갖춰야 한다고 강조한다. “마치 현대 인터넷 환경에 랜섬웨어가 고정적인 위협으로 있는 것처럼, 공급망 공격도 변수가 아닌 상수로 봐야 합니다. 특히 개발자들이 사용하는 리포지터리는 절대로 안심할 수 없는 공간이 되었습니다.”

그러면서 하루시는 “공급망 공격을 위한 특별한 솔루션을 구비하는 것도 좋지만 사실 전체적인 보안 능력이 강화되는 게 더 중요하다”고 말을 잇는다. “모니터링 능력, 비정상 행위 탐지 능력, 취약점 발굴 및 패치 능력, 구성원 인지 제고 등 모든 면에서 균형적인 성장이 이뤄져야 합니다. 어차피 공격자들은 가장 약한 곳을 통해 들어오거든요. 현재로서는 공급망이 가장 약한 고리인 것일 뿐이고, 이곳을 강화해도 다른 약한 곳이 문제가 될 겁니다.”

3줄 요약
1. 닷넷 개발자들이 자주 사용하는 누겟 생태계에 폭탄 떨어짐.
2. 폭탄이란, 자동화 기술로 생성한 수십만 개의 악성 패키지.
3. 패키지의 정교함이나 수준과는 별개로 어마어마한 숫자 자체가 커다란 위협.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기