요즘 먹히는 해킹 '공급망 공격'…"뚫리면 속수무책"

기업이 쓰는 소프트웨어(SW)를 공격 대상으로 삼는 해킹 방법인 '공급망 공격'이 보안업계 화두로 떠오르고 있다.

공급망 공격은 악성메일, 스미싱 등에 비해 더 정교한 해킹 역량을 필요로 한다. 그만큼 전체 사이버공격에서 차지하는 비중이 크진 않다. 그러나 한 번 성공하면, 표적이 된 SW를 사용하는 여러 기업으로 피해가 확산되기 쉽다.

이 때문에 상대적으로 보안 체계가 강력한 대기업, 금융·안보기관 등을 우회 공격할 수단으로 공급망 공격이 쓰이는 상황이다.

2일 보안업계에 따르면 최근 발생한 솔라윈즈 사건이 막대한 해킹 피해를 유발하면서 국내외를 막론하고 공급망 공격에 대한 경계심이 더욱 커지고 있다.

솔라윈즈 사건은 해커가 공급망 공격을 통해 미국 주요 안보기관을 포함한 공공기관과 마이크로소프트(MS), 파이어아이 등 보안 기업까지 해킹한 사례다. IT 모니터링 솔루션 '오리온'을 공급하는 벤더사인 솔라윈즈가 해킹되면서 이를 사용하는 기업, 기관까지 악성코드가 유포됐다. 해커가 오리온 업데이트 버전에 악성코드를 심은 것이다.

공급망 공격의 주요 특징들이 이 사건에서도 나타났다. 미국 증권거래위원회(SEC)는 솔라윈즈 해킹 분석 보고서를 통해 오리온 고객사 약 1만8천곳이 악성코드가 포함된 오리온을 내려받았다고 밝혔다. 공급망 공격의 파급력을 알 수 있는 사례다.

표적인 기업·기관의 보안 체계를 직접적으로 접근하지 않기 때문에 해킹 사실을 인지하기 어렵다는 특징도 이번 사건에서 드러났다. 사건을 조사한 MS에 따르면 작년 2월 오리온 업데이트 버전에 악성코드가 포함된 이후, 이런 사실이 드러나기까지 10개월의 시간이 걸렸다.

솔라윈즈 해킹으로 악성코드에 추가 감염된 기업·기관 분포(출처=마이크로소프트)

당시 해킹 피해가 글로벌 지역에까지 광범위하게 퍼진 것으로 드러나면서 국내에서도 피해 여부를 조사하고, 악성코드 감염을 예방하기 위한 대응이 이뤄진 바 있다. 결과적으로 솔라윈즈 관련 해킹 피해를 입은 곳은 발견되지 않았지만, 향후 이같은 사고를 예방하기 위한 대책이 추진될 예정이다.

사이버침해 대응을 담당하는 한국인터넷진흥원(KISA)에 따르면 국내에서 접수되는 공급망 공격은 크게 네 가지 유형으로 나뉜다.

먼저 SW를 개발하는 과정에서 발생한 취약점이 해결되지 않고 시장에 공급돼 해커가 취약점을 악용, 해킹해 정보를 탈취하는 사례다. 이 경우 작성 중인 소스코드 상의 취약점을 탐지하는 SW개발보안(시큐어코딩) 기술 등을 활용한 대응이 가능하다.

SW 개발 환경(빌드) 상의 미흡한 보안 체계를 노리는 경우도 있다. 개발 환경 내에 악성코드를 심고, 이를 유포하는 식이다. 국내 사례 중에선 지난 2017년 발생한 넷사랑컴퓨터 해킹 사고가 이 경우에 해당됐다.

영국 국가사이버보안센터(NCSC)가 지난달 SW 개발 환경을 노리는 공급망 공격에 대한 주의를 요구하는 게시글을 블로그에 게재하기도 했다. 게시글에서 NCSC는 특히 특정 빌드가 해킹 피해를 입더라도, 타 빌드에까지 영향을 주지 않도록 분리된 구조를 형성해야 한다고 강조했다.

SW의 업데이트가 제공되는 과정에서 업데이트 서버가 해킹돼 악성파일이 유포되는 경우도 공급망 공격에 해당한다.

그 외 유지보수 업체가 해킹되면서 고객사가 해킹당하는 사례도 발생했다.

정부는 공급망 공격에 대한 대응책으로 보안 도구를 보급할 예정이다. 지난달 18일 과학기술정보통신부가 발표한 'K-사이버방역 추진 전략'에 이런 계획이 포함돼 있다. 이 전략에 따르면 SW 개발 기업이 자체적으로 공급망 보안 체계를 점검하고 관리할 수 있는 진단 도구를 오는 2023년까지 1천개 보급할 방침이다.