기업이 쓰는 소프트웨어(SW)를 공격 대상으로 삼는 해킹 방법인 '공급망 공격'이 보안업계 화두로 떠오르고 있다.
공급망 공격은 악성메일, 스미싱 등에 비해 더 정교한 해킹 역량을 필요로 한다. 그만큼 전체 사이버공격에서 차지하는 비중이 크진 않다. 그러나 한 번 성공하면, 표적이 된 SW를 사용하는 여러 기업으로 피해가 확산되기 쉽다.
이 때문에 상대적으로 보안 체계가 강력한 대기업, 금융·안보기관 등을 우회 공격할 수단으로 공급망 공격이 쓰이는 상황이다.
2일 보안업계에 따르면 최근 발생한 솔라윈즈 사건이 막대한 해킹 피해를 유발하면서 국내외를 막론하고 공급망 공격에 대한 경계심이 더욱 커지고 있다.
솔라윈즈 사건은 해커가 공급망 공격을 통해 미국 주요 안보기관을 포함한 공공기관과 마이크로소프트(MS), 파이어아이 등 보안 기업까지 해킹한 사례다. IT 모니터링 솔루션 '오리온'을 공급하는 벤더사인 솔라윈즈가 해킹되면서 이를 사용하는 기업, 기관까지 악성코드가 유포됐다. 해커가 오리온 업데이트 버전에 악성코드를 심은 것이다.
공급망 공격의 주요 특징들이 이 사건에서도 나타났다. 미국 증권거래위원회(SEC)는 솔라윈즈 해킹 분석 보고서를 통해 오리온 고객사 약 1만8천곳이 악성코드가 포함된 오리온을 내려받았다고 밝혔다. 공급망 공격의 파급력을 알 수 있는 사례다.
표적인 기업·기관의 보안 체계를 직접적으로 접근하지 않기 때문에 해킹 사실을 인지하기 어렵다는 특징도 이번 사건에서 드러났다. 사건을 조사한 MS에 따르면 작년 2월 오리온 업데이트 버전에 악성코드가 포함된 이후, 이런 사실이 드러나기까지 10개월의 시간이 걸렸다.
당시 해킹 피해가 글로벌 지역에까지 광범위하게 퍼진 것으로 드러나면서 국내에서도 피해 여부를 조사하고, 악성코드 감염을 예방하기 위한 대응이 이뤄진 바 있다. 결과적으로 솔라윈즈 관련 해킹 피해를 입은 곳은 발견되지 않았지만, 향후 이같은 사고를 예방하기 위한 대책이 추진될 예정이다.
사이버침해 대응을 담당하는 한국인터넷진흥원(KISA)에 따르면 국내에서 접수되는 공급망 공격은 크게 네 가지 유형으로 나뉜다.
먼저 SW를 개발하는 과정에서 발생한 취약점이 해결되지 않고 시장에 공급돼 해커가 취약점을 악용, 해킹해 정보를 탈취하는 사례다. 이 경우 작성 중인 소스코드 상의 취약점을 탐지하는 SW개발보안(시큐어코딩) 기술 등을 활용한 대응이 가능하다.
SW 개발 환경(빌드) 상의 미흡한 보안 체계를 노리는 경우도 있다. 개발 환경 내에 악성코드를 심고, 이를 유포하는 식이다. 국내 사례 중에선 지난 2017년 발생한 넷사랑컴퓨터 해킹 사고가 이 경우에 해당됐다.
영국 국가사이버보안센터(NCSC)가 지난달 SW 개발 환경을 노리는 공급망 공격에 대한 주의를 요구하는 게시글을 블로그에 게재하기도 했다. 게시글에서 NCSC는 특히 특정 빌드가 해킹 피해를 입더라도, 타 빌드에까지 영향을 주지 않도록 분리된 구조를 형성해야 한다고 강조했다.
SW의 업데이트가 제공되는 과정에서 업데이트 서버가 해킹돼 악성파일이 유포되는 경우도 공급망 공격에 해당한다.
그 외 유지보수 업체가 해킹되면서 고객사가 해킹당하는 사례도 발생했다.
정부는 공급망 공격에 대한 대응책으로 보안 도구를 보급할 예정이다. 지난달 18일 과학기술정보통신부가 발표한 'K-사이버방역 추진 전략'에 이런 계획이 포함돼 있다. 이 전략에 따르면 SW 개발 기업이 자체적으로 공급망 보안 체계를 점검하고 관리할 수 있는 진단 도구를 오는 2023년까지 1천개 보급할 방침이다.
관련기사
- 美 뒤흔든 '솔라윈즈' 해킹, 10개월간 못 찾은 이유는?2021.01.23
- 러시아 해커, 미국 핵안보국·MS도 뚫었다2020.12.18
- 'K-사이버방역'에 3년간 6700억 투입2021.02.18
- 코로나19 대유행 기간, 해커 랜섬웨어 공격 시간 단축2020.09.30
공급망 공격에 대해 이동근 KISA 사이버침해대응단장은 SW 개발 업체들이 보안에 보다 주의를 기울일 필요가 있다고 언급했다. 이동근 KISA 단장은 "SW를 보급하는 사업자들이 개발, 설계, 구현, 유통 등 각각의 단계에서 보안을 강화할 필요가 있다"며 "각 단계별로 보안 수준을 진단하고 조치해야 하며, 이를 지원하는 도구들을 활용하는 것이 바람직하다"고 말했다.
이어 전체 SW 개발 인프라 상의 보안을 유지하기 위한 '제로트러스트' 구현도 대응책이 될 수 있다고 덧붙였다. 제로트러스트는 안전한 영역이 없다는 개념 하에 보안 체계를 구현하는 전략을 뜻한다. 이 단장은 "PC, 클라우드 접속 환경 등을 통틀어 SW 공급망에서 사용하는 디지털 인프라에 대한 신뢰성을 갖추기 위해 제로트러스트가 도움이 될 수 있다"며 "시스템에 접근하는 모든 개개인에 대한 신원을 확인하는 보안 모델도 중요한 부분"이라고 답했다.