[보안뉴스 문가용 기자] 아마존, 리프트, 슬랙 등 굵직한 업체들의 내부 애플리케이션을 노리는 공격 시도가 발견됐다. 한 보안 전문가가 고안하고, 개념증명까지 한 공격 기법을 실제로 활용하는 사례가 적발된 것이다. 이 공격 기법은 디펜던시 컨퓨전(dependency-confusion)이라고 하며, 보안 전문가 알렉스 버산(Alex Birsan)이 처음 알아냈다.
[이미지 = utoimage]
디펜던시 컨퓨전 공격은, 내부 개발자들이 앱 개발에 사용하는 코드 디펜던시들을 감염시킴으로써 완성된 앱에 자연스럽게 악성 기능이 심겨지도록 하는 기법이다. 내부 개발자들은 여러 요소들을 비밀 리포지터리에 저장해 공유하는 것이 보통이다.
버산은 이런 생리를 알고, 여러 개발자들이 신뢰하고 적극 사용하는 코드 요소 및 디펜던시 패키지의 복사판을 공공 리포지터리에 올려 보았다. 내부 개발자 중 한 명 정도는 비밀 리포지터리가 아니라 공공 리포지터리에서 디펜던시를 가져갈 것이라고 예상했기 때문이다. 그리고 정말로 많은 내부 프로젝트를 진행하고 있는 개발자들이 이 ‘복사판’을 가져다 활용하는 것이 확인됐다.
물론 버산은 일부 기업들과 미리 말을 맞춰놓고 실험을 진행했었다. 애플, 마이크로소프트, 넷플릭스, 페이팔, 쇼피파이, 테슬라, 우버 등이 전부 이런 부분에서 취약할 수 있음이 증명됐고 버산은 버그바운티 상금 형식으로 13만 달러 이상을 거머쥘 수 있었다. 여기까지는 흔한 취약점 발굴 및 ‘화이트 해킹’ 행위였다.
문제는 버산이 발견한 이 방법이 너무나 간단하다는 것이었다. 누구나 공격의 개념만 이해하고, 리포지터리를 활용할 줄 알면 따라할 수 있었다. 그리고 실제로 npm이라는 공공 리포지터리에서 이런 효과를 노린 듯한 악성 패키지가 275개 이상 발견됐다. 버산이 자신의 연구 결과를 공개하고 48시간이 채 지나지 않은 시점에서였다. 이런 현상을 제일 먼저 발견한 보안 업체 소나타입(Sonatype)은 “현재 이런 패키지는 700개가 넘어간다”고 한다.
이런 패키지들에서 발견된 ‘악성 요소’들은 대부분 정보 탈취를 위한 것들이었다. 아마존이나 넷플릭스와 같은 대형 기업들의 중요 내부 정보를 노린 행위였다는 것이다. 다만 이 공격이 얼마나 성공했을지는 외부 보안 업체로서는 파악하기 힘들다고 소나타입은 설명한다. 각 업체가 코드 디펜던시들을 내부적으로 검사해야 한다는 것이다.
문제는 이런 패키지들이 자동으로 임포팅 되는 경우가 다수라는 것이다. 특히 이미 활용하고 있는 디펜던시의 새로운 버전(악성 버전 포함)이 등장할 경우 자동으로 이를 알아내 임포팅 되도록 구성된 개발 환경이 많다고 소나타입은 설명한다. 이는 공격이 성립되기 위해 피해자 측면에서 취해야 할 행위(파일 열기나 링크 클릭 등)가 전혀 없다는 뜻이다. 피해자가 속지 않아도 공격자는 공격을 성공시킬 수 있다.
그렇다면 공격자는 내부 개발자들이 어떤 디펜던시들을 사용하는지 어떻게 알아내야 할까? 소나타입은 기업의 공공 깃허브 리포지터리나 블로그를 충분히 관찰하면 얼마든지 알아낼 수 있다고 주장한다. 알렉스 버산도 실험 당시 이런 식으로 내부인의 코드 디펜던시들을 알아냈다고 한다. 소나타입의 상세한 설명은 자사 블로그(https://blog.sonatype.com/dependency-hijacking-software-supply-chain-attack-hits-more-than-35-organizations)를 통해 열람할 수 있다.
디펜던시 컨퓨젼 공격의 표적이 되고 있는 조직은 벌써 35개가 넘어가고 있다. 그 중 아마존, 리프트, 슬랙, 질로우를 노린 공격이 가장 많다고 한다. 이 네 개 기업을 노린 악성 ‘복사본’ 패키지는 npm이라는 공공 리포지터리에서 특히 많이 발견되는 상황이다. 이런 패키지들을 npm에 업로드한 건 동일 인물로 보이지만 아직 정체가 드러난 건 아니다.
소나타입은 ‘화이트햇 해킹’ 혹은 ‘윤리적 해킹’ 행위의 결과물이 적절한 수위로 공개되어야 하는 이유를 적나라하게 보여주는 것이 이번 사례라고 설명한다. “이번 공격자는 알렉스 버산의 연구 성과물을 계속해서 진화시키고 있습니다. npm에 연쇄적으로 올라온 패키지들을 보면 알 수 있습니다. 사이버 공격자들은 이미 가지고 있는 재료를 응용하는 데 뛰어나다는 것을 다시 한 번 상기해야 하겠습니다.”
3줄 요약
1. 한 보안 전문가, 디펜던시 컨퓨전이라는 공격 기법 고안해 버그바운티 상금 받음.
2. 48시간이 지나지도 않았는데 이 기법을 실제 공격에 적용하는 사례들 무더기로 쏟아짐.
3. 특히 아마존, 리프트, 슬랙, 질로우와 같은 대형 기업을 노리는 공격이 눈에 띔.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>