.jpg)
[인터뷰] 금융보안원 사이버대응본부 침해대응부 SW공급망보안팀 장운영 팀장
금융보안원, 취약점 CVE 번호 부여하고 등록·관리할 수 있는 CNA 기관으로 정식 지정
사이버 침해사고 예방 위해 취약점 정보 공유 및 협력 강화, 사이버위협 대응체계 고도화 추진
[보안뉴스 김경애 기자] 최근 금융보안원(이하 금보원)이 미국 MITRE(마이터)로부터 CVE(Common Vulnerabilities and Exposures) 번호를 부여하고 등록·관리할 수 있는 CNA 기관으로 정식 지정됐다. 이에 따라 금보원의 CVE 발급 운영 방안과 금융권 SW 취약점 관리에 대한 관심이 모아지고 있다. 이에 <보안뉴스>는 금융보안원 사이버대응본부 침해대응부 SW공급망보안팀 장운영 팀장, 정혜성 수석, 이윤희 책임과의 인터뷰를 통해 금융권의 SW 취약점 이슈 및 CVE 발급 및 관리 운영방안에 대해 들어봤다.
▲금융보안원 사이버대응본부 침해대응부 SW공급망보안팀 장운영 팀장[사진=금융보안원]
Q. CVE 등록·관리기관으로 지정된 배경이 궁금합니다.
장운영 팀장 : 금보원은 금융권 소프트웨어의 보안 취약점을 체계적으로 관리·대응하고, 소프트웨어 공급망의 안전성을 향상시키기 위한 방안의 일환으로 보안 취약점을 의미하는 국제 식별정보 CVE(Common Vulnerabilities and Exposures) 발급기관(이하 CNA, CVE Numbering Authority: CVE 코드를 발급·등록 및 관리하는 전문기관) 지정을 추진했습니다.
CVE 프로그램은 전 세계 산업계, 학계, 정부기관과의 파트너십을 기반으로 보안 취약점 발굴을 촉진하고 있는데요. 금보원은 이번 CNA 운영으로 보안 취약점으로 발생 가능한 사이버 위협에 대해 보다 효과적으로 적기에 대응할 수 있을 것으로 기대하고 있습니다.
Q. CVE 발급 정보는 어떤 절차를 거쳐 공유되나요?
정혜성 수석 : 관련 소프트웨어의 취약점 패치가 개발되어 배포·적용에 필요한 기간이 경과하고, CVE 발급 처리가 완료된 취약점 정보를 홈페이지에 게시할 예정입니다.
Q. 금보원이 CVE 발급기관으로 지정됨에 따라 금융분야 SW 취약점에 대한 사후관리는 어떻게 할 계획인가요?
이윤희 책임 : 금융보안원은 입수·발굴한 보안 취약점을 관련 개발사에 제공해 소프트웨어 취약점이 신속하게 보정(패치)될 수 있도록 협력할 계획입니다. 또한 금융회사에 취약점 및 패치 정보를 신속히 공유해 취약점이 사이버 범죄자들에게 노출되거나 악용되는 것을 최소화하기 위해 선제적으로 대응할 계획입니다.
Q. KISA와 같은 국내 CVE 발급기관과의 정보 공유와 협업은 어떤 방식으로 진행되나요?
장운영 팀장 : 이번에 금보원이 CNA로 지정되어 국내에는 총 7개 기관이 CVE 파트너로 활동하고 있는데요. 금보원과 한국인터넷진흥원(이하 KISA)을 제외한 국내 CNA는 자사 제품에 대해서만 책임 범위를 가지고 있습니다. 그러나 금보원은 금융 분야 포괄적인 CNA로써 KISA와 CVE 할당·조정뿐만 아니라, 사이버 침해사고 예방, 피해 완화 조치를 위해 취약점 정보 등을 공유하고 있으며, 앞으로도 협력을 강화하고자 합니다.
Q. 금융권 취약점 이슈 가운데는 최근 문제가 된 보안인증 취약점을 빼놓을 수가 없는데요. 어떤 취약점이고, 이를 악용해 어떤 공격이 있었나요?
정혜성 수석 : 2023년 보안인증 소프트웨어 취약점에 대한 공격이 발생한 바 있는데요. 이 사건은 많은 국민, 기업이 사용하는 소프트웨어가 취약점에 노출될 경우 심각한 피해가 발생할 수 있음을 보여준 사례입니다.
공격자들이 언론사 홈페이지 등을 해킹해 기사에 악성 스크립트를 은닉, 워터링 홀을 구축해 해당 소프트웨어의 동작 방식을 악용했는데요. 피해자가 웹사이트 접속 시 드라이브 바이 다운로드(Drive-by Download) 방식으로 제3의 웹사이트에서 악성코드가 다운로드 및 설치되도록 했습니다. 드라이브 바이 다운로드는 사용자가 웹사이트를 방문하거나 이메일 열람 시 등 사용자가 승인하지 않거나 인지하지 못한 상태에서 발생하는 다운로드 방식입니다.
또한 특정 목표에만 악성코드를 유포하고, 곧바로 유포사이트를 폐기하는 정밀한 게릴라성 타깃팅 공격으로 취약점 공격 코드 확보 및 공격 전술·기술·절차(TTP)의 식별·분석·대응이 쉽지 않았는데요.
이에 금보원과 국가사이버안보센터, KISA, 수사기관, 컴퓨터 바이러스 백신사, 소프트웨어 개발사 등 여러 관계기관이 원인을 규명해 취약점 패치를 개발·배포했습니다. 또한 악성코드에 감염된 컴퓨터에 대해 공격자가 명령을 내리거나 추가 악성코드 유포, 정보 수집 등의 역할을 수행하는 악성코드 명령제어(C&C : Command & Control) 체계를 무력화하기 위해 협력했습니다.
Q. 최근 발생한 SW 공급망 공격사례가 궁금합니다.
이윤희 책임 : 최근 해외 사례로 2023년 3월경 3CX사 인터넷 전화 SW 침해와 2024년 1월에 발생했던 악성 NPM(자바스크립트 프로그래밍 언어를 위한 패키지 관리자)을 통한 사고 등이 있습니다. 3CX SW 공급망 공격은 1차 개발사로부터 엔드포인트까지 2단계 이상 공급망이 연쇄적으로 침해되었는데요. 최종 약 60만 고객사, 1,200만 개 단말기가 위험에 노출됐습니다. 공급망 공격의 무서운 파급력을 보여준 사례죠.
이와 함께 코드와 패키지가 공유되는 리포지터리는 많은 개발자가 활용하고 있는데, 이를 노린 공격자들이 피싱, 인지 착오 등의 수법으로 리포지터리를 통해 악성코드를 유포해 개발 환경을 오염시키는 일도 발생하고 있습니다. 이는 처음부터 악성 기능이 탑재되도록 하는 공급망 공격 사례라고 볼 수 있습니다.
또한 2021년 12월 최초 보고된 Log4j 취약점은 관련 모듈이 광범위하게 사용되고 있어, 취약 버전이 적용된 웹 서버, 로그처리 서버, 정보보호 솔루션 등 무수히 많고 다양한 소프트웨어가 현재까지도 영향을 받고 있습니다. 그로 인해 소프트웨어 공급망의 가시성, 투명성에 대한 관리 요구가 제기되고 있습니다.
Q. 결국 오픈소스의 문제점으로 이어질 수밖에 없는데요. 이에 대한 금융권 SW의 규제방안 혹은 준수사항은 무엇인가요?
장운영 팀장 : 금보원은 금융감독원과 함께 ‘금융분야 오픈소스 소프트웨어 활용·관리 안내서’를 2022년 말에 발간한 바 있습니다. 금융회사는 자율적인 오픈소스 보안 강화를 위해 해당 안내서를 참고해 오픈소스 소프트웨어에 대한 관리절차를 수립할 수 있습니다.
▲왼쪽부터 금융보안원 사이버대응본부 침해대응부 SW공급망보안팀 정혜성 수석, 장운영 팀장, 이윤희 책임[사진=금융보안원]
Q. 금융권 취약점 이슈는 북한의 해킹 공격과도 연관될 수 있는데요. 금보원에서는 북한의 제로데이 취약점과 같은 고도화된 공격에는 어떻게 대응하고 있나요?
장운영 팀장 : 국가 배후의 조직적인 해킹 시도에도 불구하고 금융권은 신속한 위협정보 공유 및 취약점 패치 등으로 피해가 발생하지 않았습니다. 금융권의 취약점 분석·평가, 보안관제, 침해사고 조사 등 금융보안 전문역량을 바탕으로 각종 인텔리전스 수집·분석, 관계기관 협력 등을 통해 사이버 위협을 식별해 대응하고 있습니다.
Q. CVE 발급·관리만이 능사는 아닐 것 같은데요. 이 외에 보안 강화를 위해 어떤 노력을 하고 있나요?
장운영 팀장 : 금보원은 보안 취약점 발굴·대응과 관련해 금융 버그바운티(취약점 신고포상제)를 진행하고 있습니다. CNA 운영과 기존 금융 버그바운티를 연계해 취약점 연구자의 CVE 크레딧(Credit, 기여인정) 획득을 지원함으로써 화이트해커 집단지성의 취약점 발굴 참여가 더욱 활성화되고 양성화되길 기대하고 있습니다.
Q. 앞으로의 계획이 궁금합니다.
장운영 팀장 : 금보원은 디지털 금융의 안전성 및 신뢰성 제고를 위해 다양한 사이버 위협 및 환경 변화에 맞춰 보다 신속·정확하고 선제적으로 대응할 수 있도록 △금융권 이용 소프트웨어 위협 대응 추진 △침해대응 인텔리전스 플랫폼 구축 △금융 IT 환경 변화에 따른 취약점 분석·평가 체계 개선 △금융권 통합보안관제의 위협 탐지 강화 등 금융권 사이버위협 대응체계 고도화를 단계적으로 추진할 예정입니다.
[김경애 기자(boan3@boannews.com)]
금융보안원, 취약점 CVE 번호 부여하고 등록·관리할 수 있는 CNA 기관으로 정식 지정
사이버 침해사고 예방 위해 취약점 정보 공유 및 협력 강화, 사이버위협 대응체계 고도화 추진
[보안뉴스 김경애 기자] 최근 금융보안원(이하 금보원)이 미국 MITRE(마이터)로부터 CVE(Common Vulnerabilities and Exposures) 번호를 부여하고 등록·관리할 수 있는 CNA 기관으로 정식 지정됐다. 이에 따라 금보원의 CVE 발급 운영 방안과 금융권 SW 취약점 관리에 대한 관심이 모아지고 있다. 이에 <보안뉴스>는 금융보안원 사이버대응본부 침해대응부 SW공급망보안팀 장운영 팀장, 정혜성 수석, 이윤희 책임과의 인터뷰를 통해 금융권의 SW 취약점 이슈 및 CVE 발급 및 관리 운영방안에 대해 들어봤다.
▲금융보안원 사이버대응본부 침해대응부 SW공급망보안팀 장운영 팀장[사진=금융보안원]
Q. CVE 등록·관리기관으로 지정된 배경이 궁금합니다.
장운영 팀장 : 금보원은 금융권 소프트웨어의 보안 취약점을 체계적으로 관리·대응하고, 소프트웨어 공급망의 안전성을 향상시키기 위한 방안의 일환으로 보안 취약점을 의미하는 국제 식별정보 CVE(Common Vulnerabilities and Exposures) 발급기관(이하 CNA, CVE Numbering Authority: CVE 코드를 발급·등록 및 관리하는 전문기관) 지정을 추진했습니다.
CVE 프로그램은 전 세계 산업계, 학계, 정부기관과의 파트너십을 기반으로 보안 취약점 발굴을 촉진하고 있는데요. 금보원은 이번 CNA 운영으로 보안 취약점으로 발생 가능한 사이버 위협에 대해 보다 효과적으로 적기에 대응할 수 있을 것으로 기대하고 있습니다.
Q. CVE 발급 정보는 어떤 절차를 거쳐 공유되나요?
정혜성 수석 : 관련 소프트웨어의 취약점 패치가 개발되어 배포·적용에 필요한 기간이 경과하고, CVE 발급 처리가 완료된 취약점 정보를 홈페이지에 게시할 예정입니다.
Q. 금보원이 CVE 발급기관으로 지정됨에 따라 금융분야 SW 취약점에 대한 사후관리는 어떻게 할 계획인가요?
이윤희 책임 : 금융보안원은 입수·발굴한 보안 취약점을 관련 개발사에 제공해 소프트웨어 취약점이 신속하게 보정(패치)될 수 있도록 협력할 계획입니다. 또한 금융회사에 취약점 및 패치 정보를 신속히 공유해 취약점이 사이버 범죄자들에게 노출되거나 악용되는 것을 최소화하기 위해 선제적으로 대응할 계획입니다.
Q. KISA와 같은 국내 CVE 발급기관과의 정보 공유와 협업은 어떤 방식으로 진행되나요?
장운영 팀장 : 이번에 금보원이 CNA로 지정되어 국내에는 총 7개 기관이 CVE 파트너로 활동하고 있는데요. 금보원과 한국인터넷진흥원(이하 KISA)을 제외한 국내 CNA는 자사 제품에 대해서만 책임 범위를 가지고 있습니다. 그러나 금보원은 금융 분야 포괄적인 CNA로써 KISA와 CVE 할당·조정뿐만 아니라, 사이버 침해사고 예방, 피해 완화 조치를 위해 취약점 정보 등을 공유하고 있으며, 앞으로도 협력을 강화하고자 합니다.
Q. 금융권 취약점 이슈 가운데는 최근 문제가 된 보안인증 취약점을 빼놓을 수가 없는데요. 어떤 취약점이고, 이를 악용해 어떤 공격이 있었나요?
정혜성 수석 : 2023년 보안인증 소프트웨어 취약점에 대한 공격이 발생한 바 있는데요. 이 사건은 많은 국민, 기업이 사용하는 소프트웨어가 취약점에 노출될 경우 심각한 피해가 발생할 수 있음을 보여준 사례입니다.
공격자들이 언론사 홈페이지 등을 해킹해 기사에 악성 스크립트를 은닉, 워터링 홀을 구축해 해당 소프트웨어의 동작 방식을 악용했는데요. 피해자가 웹사이트 접속 시 드라이브 바이 다운로드(Drive-by Download) 방식으로 제3의 웹사이트에서 악성코드가 다운로드 및 설치되도록 했습니다. 드라이브 바이 다운로드는 사용자가 웹사이트를 방문하거나 이메일 열람 시 등 사용자가 승인하지 않거나 인지하지 못한 상태에서 발생하는 다운로드 방식입니다.
또한 특정 목표에만 악성코드를 유포하고, 곧바로 유포사이트를 폐기하는 정밀한 게릴라성 타깃팅 공격으로 취약점 공격 코드 확보 및 공격 전술·기술·절차(TTP)의 식별·분석·대응이 쉽지 않았는데요.
이에 금보원과 국가사이버안보센터, KISA, 수사기관, 컴퓨터 바이러스 백신사, 소프트웨어 개발사 등 여러 관계기관이 원인을 규명해 취약점 패치를 개발·배포했습니다. 또한 악성코드에 감염된 컴퓨터에 대해 공격자가 명령을 내리거나 추가 악성코드 유포, 정보 수집 등의 역할을 수행하는 악성코드 명령제어(C&C : Command & Control) 체계를 무력화하기 위해 협력했습니다.
Q. 최근 발생한 SW 공급망 공격사례가 궁금합니다.
이윤희 책임 : 최근 해외 사례로 2023년 3월경 3CX사 인터넷 전화 SW 침해와 2024년 1월에 발생했던 악성 NPM(자바스크립트 프로그래밍 언어를 위한 패키지 관리자)을 통한 사고 등이 있습니다. 3CX SW 공급망 공격은 1차 개발사로부터 엔드포인트까지 2단계 이상 공급망이 연쇄적으로 침해되었는데요. 최종 약 60만 고객사, 1,200만 개 단말기가 위험에 노출됐습니다. 공급망 공격의 무서운 파급력을 보여준 사례죠.
이와 함께 코드와 패키지가 공유되는 리포지터리는 많은 개발자가 활용하고 있는데, 이를 노린 공격자들이 피싱, 인지 착오 등의 수법으로 리포지터리를 통해 악성코드를 유포해 개발 환경을 오염시키는 일도 발생하고 있습니다. 이는 처음부터 악성 기능이 탑재되도록 하는 공급망 공격 사례라고 볼 수 있습니다.
또한 2021년 12월 최초 보고된 Log4j 취약점은 관련 모듈이 광범위하게 사용되고 있어, 취약 버전이 적용된 웹 서버, 로그처리 서버, 정보보호 솔루션 등 무수히 많고 다양한 소프트웨어가 현재까지도 영향을 받고 있습니다. 그로 인해 소프트웨어 공급망의 가시성, 투명성에 대한 관리 요구가 제기되고 있습니다.
Q. 결국 오픈소스의 문제점으로 이어질 수밖에 없는데요. 이에 대한 금융권 SW의 규제방안 혹은 준수사항은 무엇인가요?
장운영 팀장 : 금보원은 금융감독원과 함께 ‘금융분야 오픈소스 소프트웨어 활용·관리 안내서’를 2022년 말에 발간한 바 있습니다. 금융회사는 자율적인 오픈소스 보안 강화를 위해 해당 안내서를 참고해 오픈소스 소프트웨어에 대한 관리절차를 수립할 수 있습니다.
▲왼쪽부터 금융보안원 사이버대응본부 침해대응부 SW공급망보안팀 정혜성 수석, 장운영 팀장, 이윤희 책임[사진=금융보안원]
Q. 금융권 취약점 이슈는 북한의 해킹 공격과도 연관될 수 있는데요. 금보원에서는 북한의 제로데이 취약점과 같은 고도화된 공격에는 어떻게 대응하고 있나요?
장운영 팀장 : 국가 배후의 조직적인 해킹 시도에도 불구하고 금융권은 신속한 위협정보 공유 및 취약점 패치 등으로 피해가 발생하지 않았습니다. 금융권의 취약점 분석·평가, 보안관제, 침해사고 조사 등 금융보안 전문역량을 바탕으로 각종 인텔리전스 수집·분석, 관계기관 협력 등을 통해 사이버 위협을 식별해 대응하고 있습니다.
Q. CVE 발급·관리만이 능사는 아닐 것 같은데요. 이 외에 보안 강화를 위해 어떤 노력을 하고 있나요?
장운영 팀장 : 금보원은 보안 취약점 발굴·대응과 관련해 금융 버그바운티(취약점 신고포상제)를 진행하고 있습니다. CNA 운영과 기존 금융 버그바운티를 연계해 취약점 연구자의 CVE 크레딧(Credit, 기여인정) 획득을 지원함으로써 화이트해커 집단지성의 취약점 발굴 참여가 더욱 활성화되고 양성화되길 기대하고 있습니다.
Q. 앞으로의 계획이 궁금합니다.
장운영 팀장 : 금보원은 디지털 금융의 안전성 및 신뢰성 제고를 위해 다양한 사이버 위협 및 환경 변화에 맞춰 보다 신속·정확하고 선제적으로 대응할 수 있도록 △금융권 이용 소프트웨어 위협 대응 추진 △침해대응 인텔리전스 플랫폼 구축 △금융 IT 환경 변화에 따른 취약점 분석·평가 체계 개선 △금융권 통합보안관제의 위협 탐지 강화 등 금융권 사이버위협 대응체계 고도화를 단계적으로 추진할 예정입니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)