Home > 전체기사

너무나 위협적인 해킹 ‘공급망 공격’, 2022년에도 가장 두려운 이름

  |  입력 : 2022-01-16 23:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
솔라윈즈로 시작해서 로그4셸로 끝난 2021년, 공급망 공격의 파괴력 입증
공격자들, 2022년에도 공급망 공격에 집중할 듯...기업, 제로트러스트 도입 필요


[보안뉴스 문가용 기자] ‌2021년 보안 업계는 폭탄 같은 소식과 함께 시작됐다. 이른바 솔라윈즈(SolarWinds) 사태가 터졌기 때문이다. 솔라윈즈는 포춘 1000대 기업들 다수를 고객으로 둔 IT 솔루션 및 소프트웨어 제공 업체의 이름으로 오리온(Orion)이라는 네트워크 모니터링 솔루션이 특히 많은 고객을 두고 있는 솔루션인데, 어떤 해킹그룹이 오리온의 업데이트 파일을 감염시킨 사건이 바로 솔라윈즈 사태다.

[이미지=utoimage]


솔라윈즈나 고객사들은 업데이트 파일이 오염됐다는 사실을 모르고 업데이트를 진행했는데, 이를 통해 최대 1만 8천여 개 회사들이 한꺼번에 잠재적 피해자가 됐다. 공격자들 입장에서는 한 회사만 공격했을 뿐인데 무려 1만 8천여 개의 표적이 생겨버린 셈이다.

이런 공격을 공급망 공격(Supply Chain Attack)이라고 한다. 공격자의 입장에서 매우 효율이 높은 공격이다. 이 사건은 지난해 초 대대적으로 보도되었고, 정권이 막 바뀐 미국 사회를 크게 뒤흔들었다. 새로 취임한 바이든 대통령은 이것이 러시아의 정보기관인 SVR이 운영하는 것으로 의심되는 노벨륨(Nobelium)의 소행이라고 공식적으로 발표하며 공급망 방어 강화 계획을 발표하기도 했다. 이는 나중에 러시아 외교관 추방이라는 외교적 보복으로도 이어졌다.

이러한 ‌솔라윈즈 사태는 많은 공격자들에게 영감을 주게 된다. 그러면서 지난해 계속해서 공급망 공격 혹은 그에 준하는 ‘효율 높은 공격’이 전 세계 IT 시스템을 공략했다. 액셀리온(Accellion)의 유명 파일 전송 시스템이 당하는가 하면, 카세야(Kaseya)의 VSA도 감염됐다. 카세야의 VSA는 MSP 기업들이 수많은 고객사의 네트워크를 중앙에서 편리하게 관리하는 데 사용하는 소프트웨어였다. 공격자들은 이런 요소들의 취약점 단 몇 가지를 익스플로잇함으로써 수만~수십만 개의 조직들을 공격하는 데 성공할 수 있었다.

IT 환경과 인프라가 점점 복잡하게 얽히고, 각 요소들이 서로에 대한 의존도가 높아질수록 공급망 공격의 효율은 더 높아질 것이고 방어는 더 힘든 일이 될 것으로 전망된다. 따라서 공급망 공격은 한 동안 꾸준한 연구 대상이자 공격 전략으로 남아 있을 것으로 예상된다. 지나친 디펜던시 구조로 야기된 이 문제는 2021년 말 로그4셸(Log4Shell)이라는 취약점 발견을 통해 극적으로 발현되기도 했다.

그럼 올해는 어떨까? ‌공급망 공격은 피해자 입장에서 불가항력적인 수준의 재앙이나 다름없기 때문에 2022년에도 공급망 공격은 가장 두려운 이름이 될 것으로 보인다. 사실상 공급망의 상위에 위치한 곳에서부터 방어하지 않으면 아랫단에 위치한 조직들은 속수무책으로 당할 수밖에 없는 구조다. 그렇기 때문에 공격자들은 앞으로 더 공급망 공격에 집중할 것으로 예상되고 있고 실제로 개발자들을 직접 노리는 경우가 빈번해지고 있다. 현재 개발자들끼리 코드를 공유하는 각종 플랫폼들에 악성 패키지들이 점점 더 많이 등장하는 상황이 이를 반증한다.

이러한 공급망 공격에 대비하기 위해 ‌사용자 기업이나 기관에서 할 수 있는 건 ‘제로트러스트’의 도입이라고 할 수 있다. 오랜 시간 거래해왔던 서드파티 업체로부터 오는 파일이나 메일, 그리고 늘 애착을 가지고 사용하는 코드 리포지터리의 프로젝트들도 빠짐없이 확인하는 업무 프로세스와 기술을 마련해야 한다는 얘기다.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)