최근 솔라윈즈 사태로 다시 한 번 주목받고 있는 ‘공급망 공격’
성공 가능성이 높진 않지만, 성공한다면 수백만 명의 사용자 대상으로 공격 가능
[보안뉴스 이상우 기자] 거의 모든 국가에서 정수장이나 취수장 같은 상수도 공급시설이나 댐 등 공업용수 공급시설은 국가중요시설로 분류하고, 군 병력 및 경호인원을 배치해 보호한다. 재난으로 인해 수원시설이 파괴될 경우 필요한 곳에 물을 보낼 수 없기 때문. 가령 댐이 무너질 경우 공업 및 농업에 사용할 용수가 부족한 것은 물론, 댐으로 작동하는 발전시설 역시 사용이 불가능하다. 전쟁이나 국지전 시 적의 특작부대가 침입해 상수원을 공격할 우려도 있다. 상수도 정수장을 수인성 전염병이나 독극물로 오염시킬 경우 이 물을 사용하는 모든 가구가 피해를 입을 수 있는 것은 물론, 오염 사실을 알고 있다고 해도 당장 ‘수돗물’을 사용할 수 없기 때문에 생활에 많은 불편함이 생긴다.
[이미지=utoimage]
이처럼 사회적·경제적으로 중요한 자원이나 제품을 공급하는 시설이 외부 요인으로 인해 올바르게 작동하지 않으면 일상생활이나 경제에 피해가 생기는 것은 물론, 생명까지 위협받을 수 있다. 사이버 공격 유형 중에도 공급 과정에 공격자가 끼어들어 악성 행위를 하는 방식이 있다. 소프트웨어 공급망을 노린 ‘공급망 공격(Supply Chain Attack)’이다.
보통 제조업에서 공급망(Supply Chain)이라는 표현은 원자재 수급, 부품 제조, 조립, 검수, 유통, 고객관리까지 이어지는 모든 과정을 의미하며, 이 과정에 여러 기업이 참여할 수도 있다. 가령 공급망 관리가 우수한 것으로 알려진 애플은 자체적인 제조시설을 갖추지 않고도 공급망에 참여한 여러 제조기업을 관리하면서 세계 최대 규모의 스마트폰 제조사가 됐다. 그런데 이 중 한 기업이 납품한 부품에 문제가 생기면 제품 전체에 영향을 줄 수 있다. 실제로 최근 아이폰에서도 출시 이후 디스플레이 등 일부 부품에 대한 문제가 제기된 바 있다.
소프트웨어 공급망 역시 이와 비슷한 맥락이다. 소프트웨어 공급망이란 특정 기관 및 기업, 소프트웨어 개발사 등이 최종 사용자에게 필요한 소프트웨어 및 패치를 제공하는 ‘사슬’이다. 예를 들어 사용자가 PC에 설치한 게임이 최신 버전으로 유지되도록 전용 클라이언트를 통해 업데이트를 진행하는 과정이나, 공공 혹은 금융기관 홈페이지 이용 시 각종 보안 소프트웨어를 패키지 형태로 설치 및 업데이트 하는 것이 소프트웨어 공급망에 해당한다.
사이버 공격자가 이러한 공급망에 침입할 경우 정상적인 소프트웨어가 아닌 악성 소프트웨어를 사용자 PC에 설치할 수 있다. 소프트웨어 공급망에서 사이버 공격자가 끼어들 수 있는 여지는 상당히 많다. 앞서 게임 클라이언트 사례를 예로 들면, 사이버 공격자가 게임 클라이언트를 노려 변조한 뒤, 자신들의 서버로 연결해 게임 업데이트로 위장한 가짜 소프트웨어를 설치하도록 만들 수 있다. 아예 기업 ‘업데이트 서버’ 자체를 공격해 정상적인 클라이언트에서도 악성 소프트웨어를 대량으로 유포하는 것 역시 가능하다. 즉, 사용자 입장에서 정상적인 과정으로 설치한 소프트웨어가 사실은 악성 소프트웨어인 셈이다.
성공하긴 어렵지만, 성공 시 엄청난 파급력 지닌 공급망 공격
이러한 공격은 가상 시나리오가 아니라 실제로 존재한다. 최근 발생한 솔라윈즈 사태가 대표적이다. 솔라윈즈는 포춘 500대 기업 중 499곳이 도입한 네트워크 솔루션 기업으로, 파이어아이 등 보안 기업뿐만 아니라 미국 주요 기업과 재무부 및 상무부 등 정부기관도 이를 사용하고 있다. 사이버 공격자는 올해 3월부터 6월까지 네트워크 모니터링 솔루션 오리온 플랫폼의 업데이트 과정에 침투해 악성 소프트웨어를 유포했다. 해당 업데이트를 내려받은 고객사는 약 3만 3,000개로 추정하고 있으며, 이 가운데 1만 8,000여개 기업이 실제 업데이트를 적용했을 가능성이 높다.
[이미지=utoimage]
이번 사건의 피해자 중 하나인 글로벌 보안기업 파이어아이는 해당 공격 조직을 UNC2452로 분류했으며, ‘선버스트’라는 악성 소프트웨어를 소프트웨어 업데이트를 통해 유포했다고 설명했다. 선버스트는 감염된 솔라윈즈 업데이트를 통해 설치된 이후 HTTP를 통해 명령제어(C&C) 서버와 통신하며 정보를 수집한다. 특히, 통신 과정에서 발생하는 트래픽을 ‘오리온 향상 프로그램’ 프로토콜인 것처럼 위장하는 등 보안담당자의 눈을 속였다.
국내에서도 최근 북한 해커조직 ‘라자루스’의 소행으로 보이는 공급망 공격이 발생했다. 글로벌 보안기업 이셋에 따르면 이들은 국내 금융권 및 공공기관에서 주로 사용하는 ‘위즈베라 베라포트’ 공급망을 악용했다. 베라포트는 금융, 공공 등 웹 서비스 사용 시 필수적인 보안 소프트웨어를 사용자 PC에 통합 설치하는 통합 배포 도구다. 기업과 기관은 다양한 기업이 개발한 키로깅 방지, 인증 도구, 웹 방화벽 등의 솔루션을 사용자 PC에 한 번에 설치할 수 있게 해준다. 이 때문에 기업은 관리 효율성을 높이고, 사용자는 이용 편의성을 높일 수 있다.
사이버 공격자는 이 공급망에 숨어들었다. 라자루스는 악성 소프트웨어를 마치 정상적인 보안 소프트웨어인 것처럼 위장해 유포하려 했다. 만약 사용자가 감염된 웹사이트나 피싱 사이트에 접속할 경우 보안 소프트웨어로 위장한 변조 파일을 내려받을 수도 있다. 이에 따라 한국인터넷진흥원은 베라포트를 이용하는 금융사 및 기관에 보안 패치를 마치고, 일반 사용자 역시 현재 사용하는 베라포트를 삭제한 뒤 최신 버전을 새로 설치할 것을 권고하기도 했다.
주목할 점은 공격자는 공급망에 숨어들기 위해 무단으로 발급한 코드사인 인증서를 사용했다는 점이다. 코드사인 인증서란 해당 소프트웨어가 안전하다는 사실을 외부 전자서명인증사업자로부터 확인받은 전자서명을 말한다. 쉽게 말해 내가 설치하려는 소프트웨어가 제대로 된 개발사에서 제작한 것이라고 확인하는 일종의 ‘인감도장’이다. 비유하자면 공격자는 다른 사람의 인감도장을 훔치거나 위조해 악성 소프트웨어를 정상적인 것처럼 속여 유포하려 한 것이다.
이 밖에도 국내외 공급망 공격은 꾸준히 시도되고 있다. 대만의 PC 제조사 역시 업데이트 서버가 공격당해 악성 소프트웨어 유통 창구로 쓰인 바 있으며, 한 최적화 소프트웨어 개발사는 공격자가 서버에 침투해 해당 소프트웨어에 악성코드를 심은 변조 소프트웨어를 유포하기도 했다.
이처럼 공급망 공격은 기업은 물론 일반 사용자를 대상으로 감행될 수도 있다. 사용자 입장에서는 정상적인 방법으로 설치한 소프트웨어나 업데이트에 문제가 있을 것이라 생각하는 경우는 드물다. 특히, 이러한 유형의 공격은 기업의 보안수칙 중 하나인 ‘주기적인 업데이트’를 원천적으로 부정하는 기법이다.
그렇다면 이러한 공격에 어떻게 대응해야 할까? 솔직히 말해 실질적인 대응은 어렵다. 일반 사용자가 소프트웨어 무결성을 검증하고, 이를 선택적으로 설치하기는 거의 불가능에 가깝기 때문이다. 그럼에도 불구하고 업데이트와 함께 알 수 없는 파일 및 URL 접근 금지 등 필수적인 보안 수칙을 준수하는 것이 중요하다. 주요 업데이트에는 추가 기능 외에도 기존에 알려진 보안 취약점을 보완하는 내용이 담겨 있다. 특히, 정기적인 안티 바이러스 업데이트를 통해 신규 악성코드 정보를 추가해야 이전에는 탐지하지 못한 공격을 찾아내고 예방할 수 있다.
기업 역시 이러한 보안 수칙을 준수하되, 업데이트는 즉시 설치하는 것보다는 업데이트 파일을 점검하고 이를 적용하는 것이 좋다. 공급망 공격은 성공 가능성은 낮지만, 성공만 한다면 엄청난 파급력을 일으킬 수 있다. 이에 소프트웨어 개발사 역시 보안이 상대적으로 취약한 업데이트 서버를 효과적으로 지켜내고, 내부적으로도 보안수칙을 준수해 공격자가 업데이트 서버에 접근할 수 없도록 예방해야 한다.
[이상우 기자(boan@boannews.com)]
성공 가능성이 높진 않지만, 성공한다면 수백만 명의 사용자 대상으로 공격 가능
[보안뉴스 이상우 기자] 거의 모든 국가에서 정수장이나 취수장 같은 상수도 공급시설이나 댐 등 공업용수 공급시설은 국가중요시설로 분류하고, 군 병력 및 경호인원을 배치해 보호한다. 재난으로 인해 수원시설이 파괴될 경우 필요한 곳에 물을 보낼 수 없기 때문. 가령 댐이 무너질 경우 공업 및 농업에 사용할 용수가 부족한 것은 물론, 댐으로 작동하는 발전시설 역시 사용이 불가능하다. 전쟁이나 국지전 시 적의 특작부대가 침입해 상수원을 공격할 우려도 있다. 상수도 정수장을 수인성 전염병이나 독극물로 오염시킬 경우 이 물을 사용하는 모든 가구가 피해를 입을 수 있는 것은 물론, 오염 사실을 알고 있다고 해도 당장 ‘수돗물’을 사용할 수 없기 때문에 생활에 많은 불편함이 생긴다.
[이미지=utoimage]
이처럼 사회적·경제적으로 중요한 자원이나 제품을 공급하는 시설이 외부 요인으로 인해 올바르게 작동하지 않으면 일상생활이나 경제에 피해가 생기는 것은 물론, 생명까지 위협받을 수 있다. 사이버 공격 유형 중에도 공급 과정에 공격자가 끼어들어 악성 행위를 하는 방식이 있다. 소프트웨어 공급망을 노린 ‘공급망 공격(Supply Chain Attack)’이다.
보통 제조업에서 공급망(Supply Chain)이라는 표현은 원자재 수급, 부품 제조, 조립, 검수, 유통, 고객관리까지 이어지는 모든 과정을 의미하며, 이 과정에 여러 기업이 참여할 수도 있다. 가령 공급망 관리가 우수한 것으로 알려진 애플은 자체적인 제조시설을 갖추지 않고도 공급망에 참여한 여러 제조기업을 관리하면서 세계 최대 규모의 스마트폰 제조사가 됐다. 그런데 이 중 한 기업이 납품한 부품에 문제가 생기면 제품 전체에 영향을 줄 수 있다. 실제로 최근 아이폰에서도 출시 이후 디스플레이 등 일부 부품에 대한 문제가 제기된 바 있다.
소프트웨어 공급망 역시 이와 비슷한 맥락이다. 소프트웨어 공급망이란 특정 기관 및 기업, 소프트웨어 개발사 등이 최종 사용자에게 필요한 소프트웨어 및 패치를 제공하는 ‘사슬’이다. 예를 들어 사용자가 PC에 설치한 게임이 최신 버전으로 유지되도록 전용 클라이언트를 통해 업데이트를 진행하는 과정이나, 공공 혹은 금융기관 홈페이지 이용 시 각종 보안 소프트웨어를 패키지 형태로 설치 및 업데이트 하는 것이 소프트웨어 공급망에 해당한다.
사이버 공격자가 이러한 공급망에 침입할 경우 정상적인 소프트웨어가 아닌 악성 소프트웨어를 사용자 PC에 설치할 수 있다. 소프트웨어 공급망에서 사이버 공격자가 끼어들 수 있는 여지는 상당히 많다. 앞서 게임 클라이언트 사례를 예로 들면, 사이버 공격자가 게임 클라이언트를 노려 변조한 뒤, 자신들의 서버로 연결해 게임 업데이트로 위장한 가짜 소프트웨어를 설치하도록 만들 수 있다. 아예 기업 ‘업데이트 서버’ 자체를 공격해 정상적인 클라이언트에서도 악성 소프트웨어를 대량으로 유포하는 것 역시 가능하다. 즉, 사용자 입장에서 정상적인 과정으로 설치한 소프트웨어가 사실은 악성 소프트웨어인 셈이다.
성공하긴 어렵지만, 성공 시 엄청난 파급력 지닌 공급망 공격
이러한 공격은 가상 시나리오가 아니라 실제로 존재한다. 최근 발생한 솔라윈즈 사태가 대표적이다. 솔라윈즈는 포춘 500대 기업 중 499곳이 도입한 네트워크 솔루션 기업으로, 파이어아이 등 보안 기업뿐만 아니라 미국 주요 기업과 재무부 및 상무부 등 정부기관도 이를 사용하고 있다. 사이버 공격자는 올해 3월부터 6월까지 네트워크 모니터링 솔루션 오리온 플랫폼의 업데이트 과정에 침투해 악성 소프트웨어를 유포했다. 해당 업데이트를 내려받은 고객사는 약 3만 3,000개로 추정하고 있으며, 이 가운데 1만 8,000여개 기업이 실제 업데이트를 적용했을 가능성이 높다.
[이미지=utoimage]
이번 사건의 피해자 중 하나인 글로벌 보안기업 파이어아이는 해당 공격 조직을 UNC2452로 분류했으며, ‘선버스트’라는 악성 소프트웨어를 소프트웨어 업데이트를 통해 유포했다고 설명했다. 선버스트는 감염된 솔라윈즈 업데이트를 통해 설치된 이후 HTTP를 통해 명령제어(C&C) 서버와 통신하며 정보를 수집한다. 특히, 통신 과정에서 발생하는 트래픽을 ‘오리온 향상 프로그램’ 프로토콜인 것처럼 위장하는 등 보안담당자의 눈을 속였다.
국내에서도 최근 북한 해커조직 ‘라자루스’의 소행으로 보이는 공급망 공격이 발생했다. 글로벌 보안기업 이셋에 따르면 이들은 국내 금융권 및 공공기관에서 주로 사용하는 ‘위즈베라 베라포트’ 공급망을 악용했다. 베라포트는 금융, 공공 등 웹 서비스 사용 시 필수적인 보안 소프트웨어를 사용자 PC에 통합 설치하는 통합 배포 도구다. 기업과 기관은 다양한 기업이 개발한 키로깅 방지, 인증 도구, 웹 방화벽 등의 솔루션을 사용자 PC에 한 번에 설치할 수 있게 해준다. 이 때문에 기업은 관리 효율성을 높이고, 사용자는 이용 편의성을 높일 수 있다.
사이버 공격자는 이 공급망에 숨어들었다. 라자루스는 악성 소프트웨어를 마치 정상적인 보안 소프트웨어인 것처럼 위장해 유포하려 했다. 만약 사용자가 감염된 웹사이트나 피싱 사이트에 접속할 경우 보안 소프트웨어로 위장한 변조 파일을 내려받을 수도 있다. 이에 따라 한국인터넷진흥원은 베라포트를 이용하는 금융사 및 기관에 보안 패치를 마치고, 일반 사용자 역시 현재 사용하는 베라포트를 삭제한 뒤 최신 버전을 새로 설치할 것을 권고하기도 했다.
주목할 점은 공격자는 공급망에 숨어들기 위해 무단으로 발급한 코드사인 인증서를 사용했다는 점이다. 코드사인 인증서란 해당 소프트웨어가 안전하다는 사실을 외부 전자서명인증사업자로부터 확인받은 전자서명을 말한다. 쉽게 말해 내가 설치하려는 소프트웨어가 제대로 된 개발사에서 제작한 것이라고 확인하는 일종의 ‘인감도장’이다. 비유하자면 공격자는 다른 사람의 인감도장을 훔치거나 위조해 악성 소프트웨어를 정상적인 것처럼 속여 유포하려 한 것이다.
이 밖에도 국내외 공급망 공격은 꾸준히 시도되고 있다. 대만의 PC 제조사 역시 업데이트 서버가 공격당해 악성 소프트웨어 유통 창구로 쓰인 바 있으며, 한 최적화 소프트웨어 개발사는 공격자가 서버에 침투해 해당 소프트웨어에 악성코드를 심은 변조 소프트웨어를 유포하기도 했다.
이처럼 공급망 공격은 기업은 물론 일반 사용자를 대상으로 감행될 수도 있다. 사용자 입장에서는 정상적인 방법으로 설치한 소프트웨어나 업데이트에 문제가 있을 것이라 생각하는 경우는 드물다. 특히, 이러한 유형의 공격은 기업의 보안수칙 중 하나인 ‘주기적인 업데이트’를 원천적으로 부정하는 기법이다.
그렇다면 이러한 공격에 어떻게 대응해야 할까? 솔직히 말해 실질적인 대응은 어렵다. 일반 사용자가 소프트웨어 무결성을 검증하고, 이를 선택적으로 설치하기는 거의 불가능에 가깝기 때문이다. 그럼에도 불구하고 업데이트와 함께 알 수 없는 파일 및 URL 접근 금지 등 필수적인 보안 수칙을 준수하는 것이 중요하다. 주요 업데이트에는 추가 기능 외에도 기존에 알려진 보안 취약점을 보완하는 내용이 담겨 있다. 특히, 정기적인 안티 바이러스 업데이트를 통해 신규 악성코드 정보를 추가해야 이전에는 탐지하지 못한 공격을 찾아내고 예방할 수 있다.
기업 역시 이러한 보안 수칙을 준수하되, 업데이트는 즉시 설치하는 것보다는 업데이트 파일을 점검하고 이를 적용하는 것이 좋다. 공급망 공격은 성공 가능성은 낮지만, 성공만 한다면 엄청난 파급력을 일으킬 수 있다. 이에 소프트웨어 개발사 역시 보안이 상대적으로 취약한 업데이트 서버를 효과적으로 지켜내고, 내부적으로도 보안수칙을 준수해 공격자가 업데이트 서버에 접근할 수 없도록 예방해야 한다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
