[카드뉴스] ‘최근 가장 뜨거운 보안 이슈’, 공급망 공격

2023-10-13 17:51
  • 카카오톡
  • 네이버 블로그
  • url

















공급망 공격이란 공격자가 기업의 소프트웨어 설치 및 업데이트 배포 과정에 침입해 정상 소프트웨어인 것처럼 꾸민 악성 소프트웨어를 사용자 기기에 설치하는 방식이다.

공급망 공격은 클라우드 서비스의 확대로 기업의 공급망에 참여하는 외부 업체들, 즉 ‘서드파티’의 역할과 권한이 커지면서 공격자들은 이러한 서드파티를 이용해 기업의 공급망에 침투할 수 있게 됐고, 이에 따라 공급망 공격이 등장하게 됐다.

공급망 공격이 거세지는 이유는 디지털 생태계를 구성하는 각 요소들이 복잡하게 얽히고 설키면서 층층이 쌓여 있기 때문이다. 아랫단을 건드리면 맨 위의 표면까지 흔들릴 수밖에 없고, 위태로운 표면은 다시 또 다른 아랫단을 흔든다. 따라서, 작은 요소 하나만 잘 공략해도 생태계 전체를 위협하게 된다.

공급망 공격의 위험성은 크게 네 가지로 나눌 수 있다. 첫 번째로, 공급망 공격은 공격자들 입장에서 효율이 매우 높다. 두 번째로, 웹 기반 애플리케이션과 서비스 개발자들은 빠른 출시일에 맞추기 위해 외부 코드를 점점 더 많이 가져다 쓰고 있다. 세 번째로, 오늘날 디지털 생태계는 클라우드가 차지하는 비중이 늘어나고 있다. 그러나 아직 클라우드 보안이라는 것 자체가 불분명해 위험성이 존재한다. 네 번째로, 해커들 입장에서 특정 기업을 해킹하는 것보다 인프라 저변에 깔린 요소의 오래된 취약점 하나를 익스플로잇하는 것이 더 쉽다.

공급망 공격의 사례를 보면, 북한의 3CX 공급망 사건은 ‘소프트웨어 공급망 공격’이 또 다른 ‘소프트웨어 공급망 공격’으로 이어진 최초의 공격이다.

이 사건을 자세히 살펴보면,
1. 북한의 한 공격자가 소프트웨어 제공 업체인 ‘Trading Technologies’ 홈페이지를 침해했다.
2. 그 이후 Trading Technologies가 제공하는 소프트웨어인 ‘X_TRADER’를 침해했다.
3. 3CX 직원이 X_TRADER의 악성 버전을 다운받아 설치했다.
4. 북한 공격자는 3CX 개인용 컴퓨터와 3CX 기업의 네트워크에 액세스할 수 있는 권한을 획득했다.
5. 북한 공격자는 액세스 권한을 악용해 몇 주간 3CX를 사용한 조직에 추가로 액세스했다.

공급망 공격의 대응방안은 크게 4가지가 있다.
1. 네트워크 내 모든 자원을 자동으로 파악할 수 있어야 한다.
2. 리스크 요인들의 우선순위를 정하고 대응 계획을 수립해야 한다.
3. 지속적으로 모니터링해야 한다. 특히, 서드파티 요소들, 그중에서도 인터넷과 직접 연결되어 있는 것들에 대한 모니터링은 필수적이다.
4. 취약점 평가를 통해 취약한 것들, 혹은 공격 통로가 될 만한 것들을 가려낼 수 있어야 한다.
[제작=서울여자대학교 정보보호학과 제20대 학생회 플레이스]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기