대국민 서비스가 SW 공급망 공격의 타깃이 된다면? 상당한 사회적 혼란과 막대한 비용 지출 초래
미국·EU·일본서 SW 공급망 보안 ‘SBOM’이 화두로 떠올라
[보안뉴스= 전익찬 레드펜소프트 부대표] 대국민 민원서비스 ‘정부24’의 먹통 사태는 우리에게 큰 충격을 안겨주었다. 전 세계에서 디지털 사회와 디지털 정부를 일상에서 가장 깊이 체험하고 있는 우리 국민들에게는 재난과 같은 상황이 발생한 것이다. 해당 서비스의 장애 원인이 해킹으로는 추정되지 않는다고 하지만, 그 근본 원인에 대해서는 아직도 설왕설래가 있는 것이 사실이다.
이번 사태를 바라보면서 필자는 ‘만약, 대국민 서비스가 북한 등으로부터 SW 공급망 공격의 타깃이 된다면...’이라는 가정을 해보았다. 생각만 해도 아찔하다. 정부24와 같은 대국민 공공서비스 또는 인터넷뱅킹과 같은 대국민 금융서비스가 ‘SW 공급망 공격’을 당한다면 어마어마한 사회적 혼란과 비용 지출을 초래할 것이다.
[이미지=gettyimagesbank]
Cybersecurity Ventures는 최근 리포트에서 전 세계적으로 SW 공급망 공격으로 인한 비용지출이 2023년 59조에 달하며, 2025년에는 약 77조 원에 이를 것이라고 예측하고 있다.
독일의 유명한 보안 개발자 블라드미르 팔란트는 자신의 블로그를 통해 올해 1월부터 3월까지 총 5회에 걸쳐 직접적으로 한국 인터넷 환경의 취약점을 저격하면서 업계에 파장을 안겼다. 그의 지적에 의하면 국내 대부분의 은행과 대국민 서비스에 필수적으로 쓰이는 ‘보안 프로그램의 문제점’을 지적한 것이다. 팔란트는 이러한 보안 프로그램이 IP주소·위치정보 등 과도하게 많은 이용자 정보를 제공하는 문제점도 지적했지만, 10년이 넘은 라이브러리를 사용하는 등 보안상의 취약점과 공격 가능성을 주로 제기했다.
▲독일의 보안 개발자 블라드미르 팔란트가 한국 인터넷 환경 문제점을 지적한 블로그 글[이미지=블라드미르 팔란트 블로그]
아무리 국경 없는 인터넷 시대라지만 남의 나라 보안 프로그램 문제를 걱정해주는 모양이 그리 달갑지는 않았다. 하지만 이러한 팔란트의 경고가 무색하게, 2023년 대국민 서비스의 보안 프로그램으로 인한 SW 공급망 공격이 실제 몇 차례나 발생했다. 관련해 이미 많은 보도가 있기에 이번 기고에서 구체적인 사례에 대한 예시는 삼가도록 하겠다.
모든 프로그램은 기능 및 보안 강화를 위해 주기적으로 업데이트를 실행해야만 한다. 문제는 공격자들이 바로 이러한 신뢰 관계를 매개로 하는 패치 업데이트 과정을 공격 경로로 노린다는 점이다.
물론 금융서비스나 공공서비스에 보안 프로그램을 적용하기 전에 매우 정밀한 테스트 및 검증을 거치지 않는 것은 아니다. 그러나 기존의 경계기반 탐지 시스템에서는 SW 공급망 공격에 쓰이는 공격기법을 막아내는데 사실상 한계가 있다. 특정한 조건이 주어졌을 때만 발현하는 ‘이벤트 드리븐 멀웨어(Event-driven Malware)’를 활용하거나, SW 개발에 활용된 오픈소스의 취약점 등을 악용하기 때문이다. 또한, SW 공급망 공격에서는 손상된 디지털 인증서가 쓰이기도 한다. 최근 다크웹의 암시장에서 ‘인증서’는 다른 정보보다 훨씬 비싼 가격에 거래되고 있다고 한다.
공격이 진화하듯 이를 검증하는 방법론과 도구도 진화하고 있다. SW 공급망 보안에서 단연 화두는 ‘SBOM’이다. 미국의 행정명령 EO14028, 유럽연합의 사이버 보안 강화법(EU Cyber Resilience Act) 모두에서 소프트웨어 자재 명세서로 불리는 SBOM을 ‘주요 표준 기술 과제’로 제기하고 있다. 일본에서도 경제산업성(METI) 주도로 전담 TFT를 구성해 ‘SBOM 도입에 대한 개념 증명 사업 시행’ 및 ‘2025년까지의 SBOM 정책 로드맵’을 발표했다.
▲‘SBOM’에 대한 공급자·수요자 관점 비교[자료=레드펜소프트]
우리나라에서도 과학기술정보통신부·국가정보원 등에서 TFT 등을 주도하며 SW 공급망 공격에 대비하기 위한 정책과 기술에 대한 논의가 활발하게 일어나고 있다. 물론 자발적인 참여와 활성화를 위한 제반 제도 및 가이드 마련 등의 SBOM 정착을 위해 아직 가야 할 길은 많이 남아 있다. 하지만 거스를 수 없는 추세인 것은 분명하며, 대국민 서비스를 위한 프로그램이라면 우선적으로 적용해 그 실효성을 따져볼 이유가 분명히 있다고 생각한다.
세상에 완벽한 프로그램이란 없다. 하지만 온 국민의 PC에 필수적으로 설치돼야만 하는 프로그램이고, 게다가 수시로 패치 업데이트 과정을 동반할 수밖에 없는 상황이라면 지금 당장이라도 검증과 관리에 소홀함이 있어서는 안 될 것이다.
또한, 특정 도구들을 통해 해당 프로그램들의 SBOM을 추출하면서 보게 된 ‘알려진 악용된 취약점(Known Exploited Vulnerability)’이 실제 존재하는 것을 보고 필자는 우려를 금할 수 없었다. SBOM을 통해 SW 컴포넌트에 발생한 사소한 변화도 지나치지 않고, 의심 요소나 위협요인 혹은 취약점은 없는지 살펴보는 ‘대국민 서비스의 SBOM 기반 패치 위협 관리’가 절실하다.
올해 4월 대통령 직속 디지털플랫폼정부위원회는 AI와 데이터 시대를 맞아, 세계 최고의 디지털플랫폼정부 비전 달성을 위한 실현계획을 발표했다. 보안업계에 있는 필자로서는 ‘제로트러스트와 공급망 보안 적용’이 눈여겨보게 되는 대목이었다. 대한민국이 발표한 주요 과제 및 일정들이 차질없이 추진되기를 기대하며, 디지털 시대를 선도하는 글로벌 모범국가로 우뚝 서기를 희망한다.
[글_전인찬 레드펜소프트 부대표]
미국·EU·일본서 SW 공급망 보안 ‘SBOM’이 화두로 떠올라
[보안뉴스= 전익찬 레드펜소프트 부대표] 대국민 민원서비스 ‘정부24’의 먹통 사태는 우리에게 큰 충격을 안겨주었다. 전 세계에서 디지털 사회와 디지털 정부를 일상에서 가장 깊이 체험하고 있는 우리 국민들에게는 재난과 같은 상황이 발생한 것이다. 해당 서비스의 장애 원인이 해킹으로는 추정되지 않는다고 하지만, 그 근본 원인에 대해서는 아직도 설왕설래가 있는 것이 사실이다.
이번 사태를 바라보면서 필자는 ‘만약, 대국민 서비스가 북한 등으로부터 SW 공급망 공격의 타깃이 된다면...’이라는 가정을 해보았다. 생각만 해도 아찔하다. 정부24와 같은 대국민 공공서비스 또는 인터넷뱅킹과 같은 대국민 금융서비스가 ‘SW 공급망 공격’을 당한다면 어마어마한 사회적 혼란과 비용 지출을 초래할 것이다.
[이미지=gettyimagesbank]
Cybersecurity Ventures는 최근 리포트에서 전 세계적으로 SW 공급망 공격으로 인한 비용지출이 2023년 59조에 달하며, 2025년에는 약 77조 원에 이를 것이라고 예측하고 있다.
독일의 유명한 보안 개발자 블라드미르 팔란트는 자신의 블로그를 통해 올해 1월부터 3월까지 총 5회에 걸쳐 직접적으로 한국 인터넷 환경의 취약점을 저격하면서 업계에 파장을 안겼다. 그의 지적에 의하면 국내 대부분의 은행과 대국민 서비스에 필수적으로 쓰이는 ‘보안 프로그램의 문제점’을 지적한 것이다. 팔란트는 이러한 보안 프로그램이 IP주소·위치정보 등 과도하게 많은 이용자 정보를 제공하는 문제점도 지적했지만, 10년이 넘은 라이브러리를 사용하는 등 보안상의 취약점과 공격 가능성을 주로 제기했다.
▲독일의 보안 개발자 블라드미르 팔란트가 한국 인터넷 환경 문제점을 지적한 블로그 글[이미지=블라드미르 팔란트 블로그]
아무리 국경 없는 인터넷 시대라지만 남의 나라 보안 프로그램 문제를 걱정해주는 모양이 그리 달갑지는 않았다. 하지만 이러한 팔란트의 경고가 무색하게, 2023년 대국민 서비스의 보안 프로그램으로 인한 SW 공급망 공격이 실제 몇 차례나 발생했다. 관련해 이미 많은 보도가 있기에 이번 기고에서 구체적인 사례에 대한 예시는 삼가도록 하겠다.
모든 프로그램은 기능 및 보안 강화를 위해 주기적으로 업데이트를 실행해야만 한다. 문제는 공격자들이 바로 이러한 신뢰 관계를 매개로 하는 패치 업데이트 과정을 공격 경로로 노린다는 점이다.
물론 금융서비스나 공공서비스에 보안 프로그램을 적용하기 전에 매우 정밀한 테스트 및 검증을 거치지 않는 것은 아니다. 그러나 기존의 경계기반 탐지 시스템에서는 SW 공급망 공격에 쓰이는 공격기법을 막아내는데 사실상 한계가 있다. 특정한 조건이 주어졌을 때만 발현하는 ‘이벤트 드리븐 멀웨어(Event-driven Malware)’를 활용하거나, SW 개발에 활용된 오픈소스의 취약점 등을 악용하기 때문이다. 또한, SW 공급망 공격에서는 손상된 디지털 인증서가 쓰이기도 한다. 최근 다크웹의 암시장에서 ‘인증서’는 다른 정보보다 훨씬 비싼 가격에 거래되고 있다고 한다.
공격이 진화하듯 이를 검증하는 방법론과 도구도 진화하고 있다. SW 공급망 보안에서 단연 화두는 ‘SBOM’이다. 미국의 행정명령 EO14028, 유럽연합의 사이버 보안 강화법(EU Cyber Resilience Act) 모두에서 소프트웨어 자재 명세서로 불리는 SBOM을 ‘주요 표준 기술 과제’로 제기하고 있다. 일본에서도 경제산업성(METI) 주도로 전담 TFT를 구성해 ‘SBOM 도입에 대한 개념 증명 사업 시행’ 및 ‘2025년까지의 SBOM 정책 로드맵’을 발표했다.
▲‘SBOM’에 대한 공급자·수요자 관점 비교[자료=레드펜소프트]
우리나라에서도 과학기술정보통신부·국가정보원 등에서 TFT 등을 주도하며 SW 공급망 공격에 대비하기 위한 정책과 기술에 대한 논의가 활발하게 일어나고 있다. 물론 자발적인 참여와 활성화를 위한 제반 제도 및 가이드 마련 등의 SBOM 정착을 위해 아직 가야 할 길은 많이 남아 있다. 하지만 거스를 수 없는 추세인 것은 분명하며, 대국민 서비스를 위한 프로그램이라면 우선적으로 적용해 그 실효성을 따져볼 이유가 분명히 있다고 생각한다.
세상에 완벽한 프로그램이란 없다. 하지만 온 국민의 PC에 필수적으로 설치돼야만 하는 프로그램이고, 게다가 수시로 패치 업데이트 과정을 동반할 수밖에 없는 상황이라면 지금 당장이라도 검증과 관리에 소홀함이 있어서는 안 될 것이다.
또한, 특정 도구들을 통해 해당 프로그램들의 SBOM을 추출하면서 보게 된 ‘알려진 악용된 취약점(Known Exploited Vulnerability)’이 실제 존재하는 것을 보고 필자는 우려를 금할 수 없었다. SBOM을 통해 SW 컴포넌트에 발생한 사소한 변화도 지나치지 않고, 의심 요소나 위협요인 혹은 취약점은 없는지 살펴보는 ‘대국민 서비스의 SBOM 기반 패치 위협 관리’가 절실하다.
올해 4월 대통령 직속 디지털플랫폼정부위원회는 AI와 데이터 시대를 맞아, 세계 최고의 디지털플랫폼정부 비전 달성을 위한 실현계획을 발표했다. 보안업계에 있는 필자로서는 ‘제로트러스트와 공급망 보안 적용’이 눈여겨보게 되는 대목이었다. 대한민국이 발표한 주요 과제 및 일정들이 차질없이 추진되기를 기대하며, 디지털 시대를 선도하는 글로벌 모범국가로 우뚝 서기를 희망한다.
[글_전인찬 레드펜소프트 부대표]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
