공급망 공격을 알아봅시다.

안녕하세요, Chaning입니다.

오늘 주섬주섬 챙겨온 주제는 ‘공급망 공격’입니다!

공급망 공격의 대상은 기업이나 정부 기관입니다. 혹시 여러분과는 관계없다고 생각하시나요?

만약, 기업에서 구매한 제품으로 인해 여러분의 PC가 감염되어 피해를 입는다면? 또는 은행 웹사이트에서 설치한 프로그램이 랜섬웨어였다면?

이런 일을 가능하게 하는 것이 공급망 공격입니다.

상상만 해도 억울하네요.(맞죠?)

그래서 오늘은 공급망 공격에 대해 알아보겠습니다.

공급망

소프트웨어 공급망이란 소프트웨어 개발부터 배포, 설치, 유지보수에 이르는 모든 과정을 말합니다. 보통 이 과정을 거쳐 소프트웨어를 출시하거나 업데이트합니다.

해커가 소프트웨어 제품의 공급에 관여하면 어떤 이득을 보려고 하는지 천천히 읽어보시죠.

공급망 공격

소프트웨어 개발자와 공급업체를 대상으로 하는 공격입니다. 목적은 악성 프로그램을 배포하기 위해 합법적인 앱을 감염시켜 소스 코드, 빌드 과정, 업데이트 구조에 접근하는 것입니다. 해커들은 안전하지 않은 네트워크, 서버 인프라, 시큐어 코딩이 되어있지 않은 소스 코드를 찾고 빌드와 업데이트 과정에 침투하여 코드를 변경하고 악성 코드를 숨겨놓습니다.

공급망에 침투하는 해커

소프트웨어 공급망을 공격하는 이유는 사용자들에게 배포되는 소프트웨어의 공급업체의 신뢰에 있습니다. 큰 규모의 회사가 출시한 앱을 사람들은 믿고 사용하기 때문입니다.

예를 들어 넥슨에서 게임 업데이트를 발표하면 사용자들은 의심없이 업데이트를 누릅니다. 해커들은 이것을 노리는 거죠. 넥슨의 업데이트 서버에 침투해서 악성 코드를 설치하면 쉽게 사용자의 컴퓨터를 감염시킬 수 있습니다.

그렇다면 어떤 경로를 통해 침투하는지 알아보겠습니다.

공급망 공격 경로

• 업데이트 서버 침투: 업데이트 서버를 탈취하여 업데이트 파일을 변조하여 소프트웨어를 사용자에게 악성 코드를 배포합니다.
• 코드 서명 도난 및 훼손: 해커가 인증에 사용되는 서명을 입수하여 악성 코드에 서명한 후, 공급 업체의 소프트웨어나 업데이트인 것처럼 배포합니다.
• 오픈 소스 악용: 오픈 소스 저장소에 새로운 버전이 나온 것처럼 의존성을 등록해 놓아 개발자들을 속여 소프트웨어 빌드로 침투하는 방법입니다.

소프트웨어의 개발 단계에서 일어나는 일이다보니 기술적으로 침투하는 방법을 주로 사용하네요.

공급망 공격의 효과

• 데이터 유출: 기업의 저장소에 보관되어 있는 고객의 개인정보를 유출하는 것이 일반적입니다.
• 멀웨어(악성 코드) 감염: 해커는 공급망의 취약성을 악용하여 악성 코드를 전달합니다.

공급망 공격은 하나의 기업을 대상으로 수행되지만 그 피해는 다른 회사나 개인에게도 큰 영향을 미칠 수 있습니다. 특히 소프트웨어 제품을 개발하는 업체의 경우라면 고객사들의 민감 데이터가 유출되거나 악성 코드에 감염되어 피해를 볼 수 있습니다.

사례

1. 콜로니얼 파이프라인 랜섬웨어 공격: 2021년 미국 최대 송유관 업체인 콜로니얼 파이프라인이 랜섬웨어에 감염됐습니다. 이로 인해 미국 동남부 지역의 휘발유 공급이 일시 중단되었고 이 과정에서 데이터 100GB를 도난당했습니다. 콜로니얼 파이프라인의 CEO는 복구를 위해 500만달러(한화 약 57억)를 건낼 수 밖에 없었습니다. 연료 공급 업체가 마비되어 많은 사회적 인프라에 피해가 발생했습니다.
2. 솔라윈즈 공급망 공격: 2020년에는 솔라윈즈 사의 ‘오리온’이라는 소프트웨어 제품의 공급망이 해킹 당하여 악성코드들이 배포됐습니다. 문제는 솔라윈즈만 피해를 입은 것이 아닙니다. 솔라윈즈의 고객사에는 미국 국토안보부, 마이크로소프트, 인텔 등이 있어 심각한 상황을 초래했습니다. 오리온의 업데이트 파일을 변조하여 배포했기 때문에 고객사는 업데이트를 아무 의심없이 진행했습니다.
3. 옥타(OKTA) 데이터 유출 공격: 2022년 3월, 국내에서는 삼성, LG를 해킹한 랩서스라는 신흥 해커 그룹이 클라우드 기반의 사용자 인증 및 계정관리 업체인 옥타를 해킹하여 클라이언트의 암호와 다중 인증을 재설정 할 수 있는 권한을 탈취했습니다. 이후 고객 데이터를 유출하며 옥타의 직원의 접근 권한이 고객 데이터에 대해 지나치게 많은 권한을 가지고 있었다고 주장했습니다. 참 뻔뻔하네요.

사실 실제 사례들이 훨씬 더 많지만 유명한 사건들로만 뽑아봤습니다.

해커들이 공급망 공격을 좋아라하는 이유가 명확히 드러나죠? 기업 하나를 해킹했더니 줄줄이 소세지처럼 다른 고객사, 사용자 정보까지 따라오기 때문입니다.

공급망 공격 식별 및 완화 방법

• 최소 권한: 많은 기업에서 직원, 파트너, 소프트웨어에 과도한 접근 및 사용 권한을 줍니다. 해커들은 과도한 사용 권한을 이용하여 쉽게 공급망을 공격합니다. 이를 해결하기 위해서는 모든 사용자와 소프트웨어에 작업을 수행하기 위해 필요한 권한만 혀용할 수 있도록 권한을 최소화해야합니다. 제로트러스트 개념을 적용하면 좋겠네요!(❗제로트러스트에 대한 게시물이 읽어보세요. 싫으면 시.집.가시구요.)
• 네트워크 분할: 타사 소프트웨어 및 파트너사는 네트워크에 제한 없이 접근할 필요가 없습니다. 네트워크의 분할을 사용하여 네트워크를 비즈니스 기능에 따라 구역으로 나눕니다. 이 방식을 사용하면 공급망 공격이 네트워크의 일부를 손상시키는 경우에도 네트워크의 나머지 부분은 여전히 보호할 수 있습니다.
• DevSecOps 준수: 보안을 개발 생명주기에 포함하여 소프트웨어가 악의적으로 수정되었는지 여부에 대해 탐지할 수 있습니다.( ❗DevSecOps는 이전 게시물에 있습니다. 시.집.)
• 자동화된 위협 방지 및 위협 탐색: *SOC(Security Operations Center) 분석가는 엔드포인트, 네트워크, 클라우드 및 모바일을 비롯한 모든 환경의 공격으로부터 기업을 보호해야 합니다.

*SOC란 보안 운영 센터를 말합니다.

사용자 측면에서는 지켜주셔야 할 것이 딱! 하나 있습니다.

바로 사용하는 계정에 ‘다중 인증’을 적용해주시는 건데요. 전화 기반 인증은 ❌ , 지난 포스팅에도 언급되어 있듯이 심 스와핑이라는 공격에 당했을 경우 큰 피해가 발생할 수 있습니다.

여러분이 기억할 수 있는 암호를 정해서 설정하세요. (생일, 기념일, 이름 ❌ )

공급망 공격에 대한 해결방법으로는 제로트러스트가 가장 많이 언급되고 있습니다. 미국에서는 솔라윈즈 공급망 공격을 겪은 바이든 정부 주도 하에 정부 부처들의 제로트러스트 아키텍처로의 전환을 추진중인데요. 국내 기업들도 공급망 공격의 대상이 된 상황에서 기업 및 정부 주도의 빠른 전환이 필요해보입니다.

오늘은 공급망 공격에 대해 알아봤습니다. 개인적으로 대비할 수 있는 부분은 아니지만 할 수 있는 데까지는 해보시기를 권장드립니다.

읽어주셔서 감사합니다.

Chaning 이었습니다. (빠이!)