공급망 공격이란 공격자가 기업의 소프트웨어 설치 및 업데이트 배포 과정에 침입해 정상 소프트웨어인 것처럼 꾸민 악성 소프트웨어를 사용자 기기에 설치하는 방식이다.

공급망 공격은 클라우드 서비스의 확대로 기업의 공급망에 참여하는 외부 업체들, 즉 ‘서드파티’의 역할과 권한이 커지면서 공격자들은 이러한 서드파티를 이용해 기업의 공급망에 침투할 수 있게 됐고, 이에 따라 공급망 공격이 등장하게 됐다.

공급망 공격이 거세지는 이유는 디지털 생태계를 구성하는 각 요소들이 복잡하게 얽히고 설키면서 층층이 쌓여 있기 때문이다. 아랫단을 건드리면 맨 위의 표면까지 흔들릴 수밖에 없고, 위태로운 표면은 다시 또 다른 아랫단을 흔든다. 따라서, 작은 요소 하나만 잘 공략해도 생태계 전체를 위협하게 된다.

공급망 공격의 위험성은 크게 네 가지로 나눌 수 있다. 첫 번째로, 공급망 공격은 공격자들 입장에서 효율이 매우 높다. 두 번째로, 웹 기반 애플리케이션과 서비스 개발자들은 빠른 출시일에 맞추기 위해 외부 코드를 점점 더 많이 가져다 쓰고 있다. 세 번째로, 오늘날 디지털 생태계는 클라우드가 차지하는 비중이 늘어나고 있다. 그러나 아직 클라우드 보안이라는 것 자체가 불분명해 위험성이 존재한다. 네 번째로, 해커들 입장에서 특정 기업을 해킹하는 것보다 인프라 저변에 깔린 요소의 오래된 취약점 하나를 익스플로잇하는 것이 더 쉽다.

공급망 공격의 사례를 보면, 북한의 3CX 공급망 사건은 ‘소프트웨어 공급망 공격’이 또 다른 ‘소프트웨어 공급망 공격’으로 이어진 최초의 공격이다.

이 사건을 자세히 살펴보면,
1. 북한의 한 공격자가 소프트웨어 제공 업체인 ‘Trading Technologies’ 홈페이지를 침해했다.
2. 그 이후 Trading Technologies가 제공하는 소프트웨어인 ‘X_TRADER’를 침해했다.
3. 3CX 직원이 X_TRADER의 악성 버전을 다운받아 설치했다.
4. 북한 공격자는 3CX 개인용 컴퓨터와 3CX 기업의 네트워크에 액세스할 수 있는 권한을 획득했다.
5. 북한 공격자는 액세스 권한을 악용해 몇 주간 3CX를 사용한 조직에 추가로 액세스했다.

공급망 공격의 대응방안은 크게 4가지가 있다.
1. 네트워크 내 모든 자원을 자동으로 파악할 수 있어야 한다.
2. 리스크 요인들의 우선순위를 정하고 대응 계획을 수립해야 한다.
3. 지속적으로 모니터링해야 한다. 특히, 서드파티 요소들, 그중에서도 인터넷과 직접 연결되어 있는 것들에 대한 모니터링은 필수적이다.
4. 취약점 평가를 통해 취약한 것들, 혹은 공격 통로가 될 만한 것들을 가려낼 수 있어야 한다.
[제작=서울여자대학교 정보보호학과 제20대 학생회 플레이스]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>