공급망 공격이 제대로 자리를 잡았다. 이제 개발자 리포지터리와 오픈소스 요소들을 무작정 신뢰한다는 건 위험을 초대하는 것과 다름이 없다. 공격자들은 리포지터리들을 공략하기 위해 자동화 기술에 대한 투자도 아끼지 않는다.
[보안뉴스 문가용 기자] 닷넷 개발자들이 자주 사용하는 누겟(NuGet) 오픈소스 생태계에서 악성 패키지가 홍수처럼 쏟아지는 사건이 발생했다고 보안 업체 체크막스(Checkmarx)와 일러스트리아(Illustria)가 발표했다. 자동화 기술이 공격에 사용됐다고 하며, 표적이 되고 있는 건 누겟만이 아니라고 한다. npm과 PyPI 생태계도 공격 대상인 것으로 보인다. 결국 개발자들이 표적인 셈이다.
[이미지 = utoimage]
제일 먼저 공격자들은 자동화 기술을 활용해 패키지들을 대량으로 생산했다. 패키지 이름은 해킹이나 게임 치트, 무료 소프트웨어 등에 관심이 있는 사람들이 클릭해볼 법한 단어들로 작성됐다. 패키지 안에는 개인정보 등 여러 민감 정보를 훔치기 위해 만들어진 각종 피싱 사이트들로 들어가는 링크들이 포함되어 있었다. 공격자들은 이렇게 만들어진 패키지를 누겟 생태계에 살포했다.
개발자 생태계에 악성 코드를 흩뿌리는 일은 이제 흔하디흔한 일이지만, 이번 공격은 규모라는 측면에서 상당히 독특하다. 한 공격자 혹은 공격 단체가 무려 14만 4천 개의 패키지를 만들어 사용했기 때문이다. 여태까지 발견됐던 이런 종류의 캠페인들에서 사용되었던 패키지의 수는 많아야 수십~수백 정도였다. 체크막스의 공급망 엔지니어인 조세프 하루시(Jossef Harush)는 “자동화 기술로 이렇게까지 많은 악성 패키지를 사용하면 탐지가 매우 어려워진다”고 말한다.
“악성 패키지의 수준이나 정교함 등과는 별개로, 이러한 수의 악성 패키지가 사용되고 있다는 것 자체로 이미 이 캠페인은 대단히 위험한 것이 되었습니다. 이런 규모의 숫자로 밀어붙이기만 해도 탐지와 제거가 매우 까다로워지기 때문입니다. 누군가 걸려들 확률도 그만큼 높아지는 것이고요. 개발자 개개인이 패키지를 다운로드 받을 때 꼼꼼하게 점검하는 것 외에는 효과적인 방어법이 떠오르지 않을 정도입니다.”
자동화, 방어자만이 아니라 공격자도 도와
하루시는 “투자라는 걸 꺼려하는 게 공격자들의 특성이지만 이번에는 자동화 기술에 제법 투자한 것으로 보인다”고 설명한다. “개발자들의 생태계를 효과적으로 오염시키려면 패키지의 숫자가 그 무엇보다 중요하다고 판단을 한 것으로 보입니다. 짧은 시간 내에 많은 패키지를 생성하려면 자동화 기술이 필요하다고 결론을 내렸겠고요. 돈을 쓰고 시간을 아끼는 편을 택한 것이죠. 스팸 메일 공격을 개발자 환경에서 한 것이라고 볼 수 있겠습니다.”
짧은 시간에 다량의 패키지를 생성해 공격에 활용했을 때의 또 다른 장점은 “탐지와 제거가 어려워 캠페인을 보다 긴 시간 진행할 수 있다는 것”이다. “투자를 조금 더 함으로써 보다 긴 기간 공격을 할 수 있다면, 그 자체로 효율성을 높인 거라고도 볼 수 있습니다. 공격자들도 여러 가지를 꼼꼼하게 계산해 봤을 겁니다.”
악성 패키지를 막아라
이런 공격을 막으려면 어떻게 해야 할까? 개발자 한 사람 한 사람의 꼼꼼함과 보안 의식에 기대는 수밖에 없을까? 하루시는 “피싱 공격 등 각종 수상한 행위에 대한 네트워크 모니터링과 직원 교육은 필수”라고 말한다. “오픈소스 생태계에서 패키지를 다운로드 받아 사용한다는 게 생각보다 위험할 수 있는 행위라는 걸 인지하고 있어야 합니다. 거기에 더해 소프트웨어 공급망 위협에 대비할 수 있게 해 주는 보안 도구들을 조사해 적용하는 것도 적극 검토해야 합니다.”
하루시는 이번 사건만이 아니더라도 공급망 공격은 이미 현대의 디지털 환경에 안정적으로 정착한 요소이니 조직들은 방어력을 갖춰야 한다고 강조한다. “마치 현대 인터넷 환경에 랜섬웨어가 고정적인 위협으로 있는 것처럼, 공급망 공격도 변수가 아닌 상수로 봐야 합니다. 특히 개발자들이 사용하는 리포지터리는 절대로 안심할 수 없는 공간이 되었습니다.”
그러면서 하루시는 “공급망 공격을 위한 특별한 솔루션을 구비하는 것도 좋지만 사실 전체적인 보안 능력이 강화되는 게 더 중요하다”고 말을 잇는다. “모니터링 능력, 비정상 행위 탐지 능력, 취약점 발굴 및 패치 능력, 구성원 인지 제고 등 모든 면에서 균형적인 성장이 이뤄져야 합니다. 어차피 공격자들은 가장 약한 곳을 통해 들어오거든요. 현재로서는 공급망이 가장 약한 고리인 것일 뿐이고, 이곳을 강화해도 다른 약한 곳이 문제가 될 겁니다.”
3줄 요약
1. 닷넷 개발자들이 자주 사용하는 누겟 생태계에 폭탄 떨어짐.
2. 폭탄이란, 자동화 기술로 생성한 수십만 개의 악성 패키지.
3. 패키지의 정교함이나 수준과는 별개로 어마어마한 숫자 자체가 커다란 위협.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 닷넷 개발자들이 자주 사용하는 누겟(NuGet) 오픈소스 생태계에서 악성 패키지가 홍수처럼 쏟아지는 사건이 발생했다고 보안 업체 체크막스(Checkmarx)와 일러스트리아(Illustria)가 발표했다. 자동화 기술이 공격에 사용됐다고 하며, 표적이 되고 있는 건 누겟만이 아니라고 한다. npm과 PyPI 생태계도 공격 대상인 것으로 보인다. 결국 개발자들이 표적인 셈이다.
[이미지 = utoimage]
제일 먼저 공격자들은 자동화 기술을 활용해 패키지들을 대량으로 생산했다. 패키지 이름은 해킹이나 게임 치트, 무료 소프트웨어 등에 관심이 있는 사람들이 클릭해볼 법한 단어들로 작성됐다. 패키지 안에는 개인정보 등 여러 민감 정보를 훔치기 위해 만들어진 각종 피싱 사이트들로 들어가는 링크들이 포함되어 있었다. 공격자들은 이렇게 만들어진 패키지를 누겟 생태계에 살포했다.
개발자 생태계에 악성 코드를 흩뿌리는 일은 이제 흔하디흔한 일이지만, 이번 공격은 규모라는 측면에서 상당히 독특하다. 한 공격자 혹은 공격 단체가 무려 14만 4천 개의 패키지를 만들어 사용했기 때문이다. 여태까지 발견됐던 이런 종류의 캠페인들에서 사용되었던 패키지의 수는 많아야 수십~수백 정도였다. 체크막스의 공급망 엔지니어인 조세프 하루시(Jossef Harush)는 “자동화 기술로 이렇게까지 많은 악성 패키지를 사용하면 탐지가 매우 어려워진다”고 말한다.
“악성 패키지의 수준이나 정교함 등과는 별개로, 이러한 수의 악성 패키지가 사용되고 있다는 것 자체로 이미 이 캠페인은 대단히 위험한 것이 되었습니다. 이런 규모의 숫자로 밀어붙이기만 해도 탐지와 제거가 매우 까다로워지기 때문입니다. 누군가 걸려들 확률도 그만큼 높아지는 것이고요. 개발자 개개인이 패키지를 다운로드 받을 때 꼼꼼하게 점검하는 것 외에는 효과적인 방어법이 떠오르지 않을 정도입니다.”
자동화, 방어자만이 아니라 공격자도 도와
하루시는 “투자라는 걸 꺼려하는 게 공격자들의 특성이지만 이번에는 자동화 기술에 제법 투자한 것으로 보인다”고 설명한다. “개발자들의 생태계를 효과적으로 오염시키려면 패키지의 숫자가 그 무엇보다 중요하다고 판단을 한 것으로 보입니다. 짧은 시간 내에 많은 패키지를 생성하려면 자동화 기술이 필요하다고 결론을 내렸겠고요. 돈을 쓰고 시간을 아끼는 편을 택한 것이죠. 스팸 메일 공격을 개발자 환경에서 한 것이라고 볼 수 있겠습니다.”
짧은 시간에 다량의 패키지를 생성해 공격에 활용했을 때의 또 다른 장점은 “탐지와 제거가 어려워 캠페인을 보다 긴 시간 진행할 수 있다는 것”이다. “투자를 조금 더 함으로써 보다 긴 기간 공격을 할 수 있다면, 그 자체로 효율성을 높인 거라고도 볼 수 있습니다. 공격자들도 여러 가지를 꼼꼼하게 계산해 봤을 겁니다.”
악성 패키지를 막아라
이런 공격을 막으려면 어떻게 해야 할까? 개발자 한 사람 한 사람의 꼼꼼함과 보안 의식에 기대는 수밖에 없을까? 하루시는 “피싱 공격 등 각종 수상한 행위에 대한 네트워크 모니터링과 직원 교육은 필수”라고 말한다. “오픈소스 생태계에서 패키지를 다운로드 받아 사용한다는 게 생각보다 위험할 수 있는 행위라는 걸 인지하고 있어야 합니다. 거기에 더해 소프트웨어 공급망 위협에 대비할 수 있게 해 주는 보안 도구들을 조사해 적용하는 것도 적극 검토해야 합니다.”
하루시는 이번 사건만이 아니더라도 공급망 공격은 이미 현대의 디지털 환경에 안정적으로 정착한 요소이니 조직들은 방어력을 갖춰야 한다고 강조한다. “마치 현대 인터넷 환경에 랜섬웨어가 고정적인 위협으로 있는 것처럼, 공급망 공격도 변수가 아닌 상수로 봐야 합니다. 특히 개발자들이 사용하는 리포지터리는 절대로 안심할 수 없는 공간이 되었습니다.”
그러면서 하루시는 “공급망 공격을 위한 특별한 솔루션을 구비하는 것도 좋지만 사실 전체적인 보안 능력이 강화되는 게 더 중요하다”고 말을 잇는다. “모니터링 능력, 비정상 행위 탐지 능력, 취약점 발굴 및 패치 능력, 구성원 인지 제고 등 모든 면에서 균형적인 성장이 이뤄져야 합니다. 어차피 공격자들은 가장 약한 곳을 통해 들어오거든요. 현재로서는 공급망이 가장 약한 고리인 것일 뿐이고, 이곳을 강화해도 다른 약한 곳이 문제가 될 겁니다.”
3줄 요약
1. 닷넷 개발자들이 자주 사용하는 누겟 생태계에 폭탄 떨어짐.
2. 폭탄이란, 자동화 기술로 생성한 수십만 개의 악성 패키지.
3. 패키지의 정교함이나 수준과는 별개로 어마어마한 숫자 자체가 커다란 위협.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
