Home > 전체기사

한국CISO협의회, CISO포럼 온라인 개최... 솔라윈즈 사태로 본 공급망 공격 논의

  |  입력 : 2021-02-16 14:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 솔라윈즈 사태로 ICT 공급망 공격의 파급력 재확인
기존 보안 패러다임 바꿔야 지능형 공격에 대응할 수 있어


[보안뉴스 이상우 기자] 제106차 CISO포럼이 2월 16일 10시 온라인으로 진행됐다. CISO포럼은 국내 기관 및 기업의 정보보호최고책임자(CISO) 모임인 한국CISO협의회(회장 이기주)가 주최하는 행사로, ICT 및 정보보호 분야의 현안과 동향을 공유하고, CISO간 네트워크를 강화하기 위해 매월 진행하고 있다.

▲제106차 CISO포럼이 온라인으로 진행됐다[이미지=보안뉴스]


한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.

CISO협의회 이기주 회장은 “새해가 한 달 이상 지난 이 시점에서 회원사 모두가 올해 계획을 순조롭게 하고 있으리라 생각한다. 오늘은 최근 큰 파장을 일으킨 솔라윈즈 사태에 대한 분석과 대응방안을 소개하는 발표를 준비했다. 회원사에 유익한 내용이 되길 바라며, 3월에는 서로 얼굴을 볼 수 있는 오프라인 행사가 개최되길 바란다”고 말했다.

한국인터넷진흥원 침해사고분석단 임진수 단장은 제106차 CISO포럼에서 ‘사이버보안 패러다임을 바꾼 솔라윈즈 사태’를 주제로 공급망 공격 동향과 향후 대응방안에 대해 소개했다.

솔라윈즈 사태는 지난해 발생한 ICT 공급망 공격 사건이다. 솔라윈즈는 네트워크 모니터링 솔루션 개발사로, 미국 주요 기업 및 정부기관에서 사용하는 솔라윈즈 오리온 플랫폼을 도입해 사용해왔다. 사이버 공격자는 알 수 없는 경로를 통해 오리온 플랫폼 업데이트 과정에 침투해 변조한 업데이트를 배포했고, 이를 통해 수많은 솔라윈즈 고객사가 사이버공격 위협에 놓이게 됐다. 이러한 사실이 솔라윈즈 고객사 중 하나인 파이어아이의 내부 침해사고 조사 중 발견됐으며, 보고서를 통해 세상에 알려졌다.

KISA 임진수 단장은 “지금까지 공급망 공격에 관한 우려가 많았으며 실제로 발생한 경우도 있다. 발표를 준비하면서 솔라윈즈 사태만큼 치밀하고 정교한 사고가 또 있었나 생각할 정도로 오랜 기간 치밀하게 이뤄진 공격이었다. 또한, 한 업체에 대한 공격이 여러 협력사까지 번질 수 있다는 사실을 잘 보여줬다. 기업이 보안을 철저히 하더라도 서드파티에 의해 언제든지 공격자가 침투할 수 있다는 극명한 사례로 생각한다. 이 때문에 사이버보안 패러다임을 바꿔야 한다고 느꼈다”고 말했다.

▲한국인터넷진흥원 침해사고분석단 임진수 단장이 솔라윈즈 사태를 주제로 발표하고 있다[이미지=보안뉴스]


KISA 침해사고분석단에 따르면 이번 공격은 오랜 기간 은밀하게 이뤄졌다. 공격자는 솔라윈즈 제품의 동적 링크 라이브러리(DLL)에 악성 명령어를 삽입했고, 변조된 DLL이 포함된 소프트웨어가 고객사 업데이트 서버를 통해 배포됐다. 이 과정에서 공격자가 어떻게 침투해 코드를 변조하고, 업데이트 서버에 올렸는지는 아직 밝혀지지 않았으며, 스피어 피싱 등을 통한 내부망 접근으로 추정하고 있는 상황이다.

또한, 정상적인 소프트웨어를 변조했기 때문에 별도의 코드사인 인증서 탈취 없이도 보안 솔루션을 우회하는 일종의 파일리스 공격 기법도 쓰였다. 여기에 추적 및 차단을 피하기 위해 도메인 생성 알고리즘(DGAs)을 적용하고, 명령제어 서버와 통신이 차단되지 않도록 유지하는 등 지능형 공격의 종합판이었다는 게 임진수 단장의 설명이다.

임진수 단장은 “이전까지 공급망 공격은 다른 사이버 공격과 비교해 크게 알려지지 않았다. 랜섬웨어 등 최근 유행하는 공격의 경우 실질적인 피해가 눈에 보이고, 비트코인 같은 금품을 요구하는 등 자극적인 소재인 만큼 언론에도 많이 노출되는 경향이 있다. 이와 달리, 공급망 공격은 지금까지 꾸준히 시도돼 왔으며, 엄청난 피해를 일으킬 수 있지만 어떤 피해가 발생하는지 체감하기 어려운 만큼 주목도가 떨어졌다”고 말했다.

이어 “이번 솔라윈즈 사태의 경우 피해를 입은 고객사(파이어아이, 마이크로소프트, 시스코 등)가 큰 파급력을 갖추고 있다는 점에서 주목받게 됐다. ICT 공급망을 통해 2~3차로 피해가 이어지는 상황이며 현재도 피해사례가 발굴되고 있다. 국내의 경우 총판을 통해 확인해본 결과 일부 사용 기업이 있었으며, 사용 중인 버전을 확인해 취약점 제거 패치를 완료했다. 공격자는 특성상 개발사 홈페이지를 통해 레퍼런스를 확인할 수 있고, 어떤 개발사를 공격하면 어떤 기업에 침투할 수 있다는 것을 파악할 수 있다. 개발사는 고객사인 대기업과 비교해 보안이 허술할 수 있으며, 이를 노리는 공격 사례도 분명히 존재한다”고 말했다.

그는 이러한 공급망 공격에 대응하기 위해서는 보안 패러다임을 바꿔야 한다고 강조했다. 일반적인 침해지표(IoC) 기반의 모니터링과 보안 정책만으로는 치밀한 공급망 공격을 막기 어렵다는 것. 이 때문에 공급망 보안 관리체계를 구축하고, 모의훈련 등 조직의 인적 보안을 강화해야 한다는 설명이다.

임진수 단장은 “아무리 좋은 정책도 사람이 잘 지키지 않으면 허점이 생길 수밖에 없다. 수많은 사이버 공격이 스피어피싱을 시작으로 이뤄지는 만큼 인적 보안에 대한 준비가 없으면 공격자의 메일을 열어볼 가능성이 높다. 또한, 보안관리자는 주요 보안 이벤트를 기록해 추적이나 피해상황을 빠르게 파악할 수 있어야 하며, 마이터 어택 프레임워크 등 발생 가능한 위협 시나리오 수립 및 대응책 마련도 필요하다”고 말했다.

덧붙여 “정부 입장에서도 안전망을 구축해야 한다. 개발단계에서는 소스코드 취약점 점검 등 제품 설계부터 개발까지 취약점을 진단하고 조치할 수 있도록 지원해야 하며. 유통 및 조달 과정에선 ISMS 같은 보안 인증제도를 적용할 필요가 있다. 또한, ISMS 내에 공급망 보안을 고려해 위험관리를 할 수 있도록 프로세스를 강화하고, 유지보수 측면에서도 단계별 보안관리 기준을 개발해 보급해야 한다”고 말했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비