소프트웨어 공급망 공격 사례

오늘은 먼저 주제를 말씀드리기에 앞서 '전쟁에서 쉽고 빠르게 이기려면 어떻게 해야할까?'라는 질문을 먼저 드리고 시작하겠습니다. 사실 이 질문에 대한 답은 정말 옛날 이야기에서 찾아볼 수 있죠. 삼국지에서는 촉나라와 위나라가 전쟁을 하는데 위나라의 전쟁 물자 통로를 막아서 식량 공급을 차단해버림으로써 이겼다는 내용이 있고, 다른 나라 역사에도 적의 병사들이 식수로 사용하는 강에 독을 타서 승리했다는 이야기도 존재합니다. 이 예시가 바로 오늘 소개드릴 공급망 공격(Supply Chain Attack)과 관련이 있는 내용입니다. 그럼 이 공급망 공격이 소프트웨어 보안에 어떻게 적용되는지 알아보도록 하죠.

​

대부분의 국가들에서는 상수도나 통신망 시설을 국가 중요시설로 분류하고 있습니다. 위에서 말씀드린 예처럼 상수도에 독을 타서 오염시키는 경우 그 주변 대부분의 사람들이 피해를 입을 수 있겠죠. 만약 통신망 시설을 공격했다면 2018년에 발생했던 KT 통신망 마비 사태처럼, 가족들과 연락이 안되서 재난 상황을 방불케하는 답답한 상황을 만들 수도 있을겁니다. 이렇게 사회적으로 중요한 자원을 공급하는 시설이 공격 받음으로 인해 경제적인 피해를 입거나 생명까지 위협받는 경우가 있죠. 보안 사고 중에서도 소프트웨어의 공급 과정을 노려서 공격을 시도하는 방식이 있는데 이를 '공급망 공격'이라고 합니다.

​

일반적으로 사용되는 공급망(Supply Chain)의 표현을 빌려서 소프트웨어에 대입하면, 특정 기업에서 소프트웨어를 개발하여 테스트 후 사용자에게 유지보수 및 패치까지 제공하는 일련의 전 과정을 의미하게 됩니다. 하지만 여기서는 보통 사용자에게 필요한 소프트웨어나 업데이트를 제공한다는 맥락으로 이해하시면 될 것 같구요. 사용자가 설치한 프로그램이 최신 버전으로 유지될 수 있도록 업데이트를 진행하는 과정이나, 금융기관 사이트를 사용할 때 각종 보안 프로그램을 패키지 형태로 설치하는 것이 여기에 해당하겠죠. 그런데 해커는 이 소프트웨어 공급망에 끼어들 수 있는 여지가 굉장히 많습니다. 만약 해커가 공급망을 침투하여 공격하는 경우, 사용자가 정상 프로그램이 아닌 악성코드를 설치하도록 만들 수 있겠죠.

​

여기서 언급한 것처럼 해커가 기업의 업데이트 서버를 공격해서 사용자가 설치하는 프로그램을 변조한다면.. 즉, 정상적인 클라이언트에 악성코드를 유포하는 것은 충분히 가능한 시나리오입니다. 보통 저희가 롤과 같은 게임을 한다고 하면, 신규 챔프가 나오거나 게임 내 버그를 패치할 때 게임을 하기 전에 업데이트 서버로부터 데이터를 받아 업데이트를 진행하게 되죠. 만약 이 업데이트 서버를 해커가 장악한 상태라면.. 사용자 입장에서 정상적인 과정으로 설치한 프로그램이 악성코드가 되는 셈입니다. 아무리 클라이언트를 개발할 때 보안이 잘 적용되어 있다고 하더라도, 이 클라이언트를 배포하는 서버 자체가 해킹되었다면.. 사용자는 선택의 여지없이 해커의 공격에 당할 수 밖에 없겠죠. 여기까지 기본적인 내용에 대해 설명드렸고요. 아래의 인용한 기사에서는 "솔라윈즈"라는 보안 업체에서 발생한 공급망 공격과 이에 대한 다양한 유형들을 설명하고 있으니 알아두시면 도움이 될 것 같습니다.

 

요즘 먹히는 해킹 '공급망 공격'…"뚫리면 속수무책"

 

이번 에세이에서는 업데이트 서버를 해킹한 후 파일을 변조하는 사례에 대해 간략하게 말씀드렸습니다. 최근 이슈가 되었던 "송유관 업체 랜섬웨어 감염 사례"도 일종의 공급망 공격으로 볼 수 있는데요. 해커 입장에서는 불특정 다수에게 피싱 메일을 보내는 방법보다 공급망 공격을 수행하는게 훨씬 더 어렵지만, 한번 성공하고 나면 그 파급력은 어마어마 하기 때문에 최근 공급망 공격이 지속적으로 증가하는 추세입니다. 사실 이러한 공격은 기업에서 공지를 하기 전까지 사용자가 쉽게 알 수 있는 방법이 없기에 더 위험하기도 하죠. 공급망 공격은 사용자가 조심하기 보다는 기업에서 보안 체계에 좀 더 신경써서 대응하는 방법 밖에는 없지 않을까..라는 생각을 해봅니다. 오늘 설명드릴 내용은 여기까지 입니다. 그럼 다음 글에서 뵙도록 하죠. 감사합니다.