공급망 공격을 방지하는 방법?

해커들은 여러분이 생각하는 것과는 달리 악명 높게 게으릅니다. 그들은 최소한의 노력으로 큰 성과를 노리는 것을 좋아합니다. 그 비결은 그들이 선택하는 표적에 있습니다. 서비스형 랜섬웨어(RaaS) 모델은 그들이 사이버 범죄 효율성의 정점에 도달한 대표적인 사례입니다. 공급망 공격은 그 직후 등장했으며, 전 세계 인프라를 마비시킬 정도로 널리 퍼졌습니다. 조 바이든 전 미국 대통령조차도 놀라 행정 명령을 발표하여 정부 기관에 전국적인 공급망 사이버 보안 기준 개혁을 지시했습니다.

하지만 이 이야기는 여기까지 하죠. 공급망 공격의 독특한 점은 무엇일까요? 왜 그렇게 위험한 걸까요? 왜 여러분이 관심을 가져야 할까요? 공급망 공격을 예방하는 방법은? 아직 이 질문들에 답할 수 없다면 계속 읽어보세요. 곧 알려드리겠습니다.

공급망 공격이란 무엇인가요?

공급망 공격은 공급망의 취약점을 노리는 사이버 보안 공격입니다. 공급망은 기술, 인력, 자원, 제품, 사용자 및 조직 활동을 혼합합니다. 이는 조직을 하나로 묶어주며, 이러한 구성 요소들이 회사를 움직이게 합니다.

기존 워크플로우에 갑작스러운 중단이 발생하거나 비즈니스에 피해가 생길 경우, 이는 공급망 위협일 수 있습니다. 공급망 공격은 공급망의 취약점을 탐색하고 공급업체의 취약한 보안 태세를 악용할 기회를 찾습니다. 공급업체는 공유 데이터를 사용하기 때문에, 공급업체가 침해당하면 사용자와 그들과 관련된 모든 사람들도 영향을 받습니다.

공급망이 커지면 네트워크도 확장됩니다. 따라서 공격이 발생하면 여러 대상이 생성되고 손상됩니다.

공급망 공격은 어떻게 작동하나요?

공급망 공격은 신뢰 관계를 무너뜨리는 방식으로 작동합니다. 기업 자체를 직접 표적으로 삼기보다는 조직이 협력하는 공급업체와 벤더를 표적으로 삼습니다. 소프트웨어 기반 공급망 공격은 최신 라이브러리, 업데이트 및 구성 요소에 악성 코드를 주입하여 보안 인증서와 빌드 도구를 손상시킬 수 있습니다.

하드웨어 기반 공급망 공격은 악성 코드나 스파이 구성 요소를 주입하여 제조 및 유통 프로세스를 방해할 수 있습니다. 일부 공급망 공격은 빌드 파이프라인, 액세스 토큰, 하드코딩된 비밀 정보의 취약점과 같은 취약점을 악용할 수 있습니다. 이들은 권한을 상승시키고 네트워크 전반에 걸쳐 측면 이동을 시도할 수 있습니다.

SolarWinds 공급망 공격은 이러한 위협이 작동하는 방식을 보여주는 대표적인 사례입니다. 공격자들은 한 기업의 빌드 서버에 접근하여 업데이트에 백도어를 삽입했습니다. 또 다른 사례는 공격자들이 관리형 서비스 공급자를 해킹하여 여러 조직에 랜섬웨어를 감염시킨 사건이었습니다.

공급망 공격을 탐지하는 방법?

단일 방법이나 기술만으로는 공급망 공격을 탐지할 수 없습니다. 조직은 다양한 접근법을 결합하고 최신 AI 위협 탐지 기술을 활용하여 이러한 유형의 위협을 탐지하고 완화하는 능력을 성공적으로 강화해야 합니다.

공급망 공격 방어에 필수적인 요소인 지속적인 모니터링, 글로벌 위협 인텔리전스, 선제적 보안 태세를 반드시 활용해야 합니다.

네트워크에 대한 실시간 가시성 확보, 지속적인 네트워크 트래픽 모니터링, 그리고 보안 팀이 이러한 사건 및 기타 의심스러운 활동에 신속하게 대응할 수 있는 시설을 갖추는 것이 중요합니다.

공급망 공격을 탐지할 수 있는 몇 가지 방법은 다음과 같습니다.

일부 공격은 종속성 관리의 결함을 악용할 수 있습니다. 공격자는 내부 모듈과 동일하거나 유사한 이름이지만 더 높은 버전 번호를 가진 패키지를 등록할 수 있습니다. 개발자가 이러한 외부 패키지를 무심코 가져오면 악성 코드가 소프트웨어에 유입됩니다. 외부 저장소를 신중하게 통제하고 모니터링하지 않으면 일상적인 패키지 관리조차 취약점이 될 수 있습니다.

공격자는 코드 서명에 사용되는 개인 키를 획득할 수 있습니다. 이 키로 악성 소프트웨어에 디지털 서명을 하면 신뢰할 수 있는 것처럼 보이게 할 수 있습니다. 이는 기존 서명 인증서가 제공하는 보증을 약화시킵니다. 코드 서명 인증서와 같은 신뢰 메커니즘은 개인 키를 보호하는 프로세스의 보안 수준만큼만 안전합니다.

현대적인 네트워크 탐지 및 대응(NDR) 시스템은 정상적인 행동과의 편차를 모니터링할 수 있습니다. 머신 러닝 모델은 네트워크 내 일반적인 데이터 흐름을 학습할 수 있습니다. 트래픽이 암호화되어 있더라도 갑작스러운 변화는 경보를 유발해야 합니다. 개인 키 보호를 위해 하드웨어 보안 모듈(HSM) 또는 유사 솔루션을 사용할 수 있습니다. 이 외에도 정기적인 보안 검토 및 감사를 실시하십시오. 공급망 공격을 시뮬레이션하는 훈련을 수행하고 팀이 이러한 사고를 신속하게 대응하고 탐지할 수 있도록 하십시오. 공급망 공격 방지를 위한 모범 사례

다음과 같은 전략을 구현하여 공급망 공격을 방지하는 방법을 숙지할 수 있습니다:

허니 토큰 사용 시작하기

허니 토큰은 트립와이어처럼 작동하여 네트워크 전반의 의심스러운 활동을 조직에 경고합니다. 허니 토큰은 민감한 데이터를 위장한 가짜 자원입니다. 공격자는 이를 진짜 표적이라고 생각하고 상호작용할 수 있습니다. 어떤 일이 발생할 때마다 허니 토큰은 의심되는 공격 시도에 대한 경보를 발령합니다. 이는 조직에 데이터 침해에 대한 경고를 제공하고, 공격자의 세부 정보와 침해 방법을 드러냅니다.

특권 접근 관리 보안

사이버 공격자는 계정에 대한 특권 접근 권한을 획득한 후 네트워크를 가로질러 측면 이동하는 경향이 있습니다. 그들은 권한을 상승시키고 더 민감한 리소스에 접근하려고 시도할 것입니다. 이 공격 경로는 특권 경로라고도 불리며, 전형적인 공격 궤적입니다. 특권 접근 관리 프레임워크를 활용하면 이러한 공격 패턴을 차단하고 추가 위협 가능성을 완화할 수 있습니다. 이는 내부 및 외부 방어 체계 모두를 강화하는 데 도움이 됩니다. 세부적인 접근 제어 정책을 적용하고 협력 업체를 테스트하십시오. 회사의 재고, 자산 관리 관행 및 정책을 업데이트하고 보안 업데이트 및 업그레이드를 수행하십시오.

직원 교육

공급망 위협과 관련하여 조직의 직원과 직원이 주요 표적입니다. 직원들은 악성 코드 주입이 어떻게 작동하는지 알고, 최신 사기 이메일과 피싱 시도에 경계해야 합니다. 위협 행위자들은 신뢰할 수 있는 동료로부터 온 것처럼 보이는 이메일을 보내 악성 코드를 활성화하거나 내부 로그인 ID를 훔치려 할 것입니다. 직원들이 사회공학적 기법을 포함한 표준 공격 방법에 대해 교육을 받으면 이러한 침해를 성공적으로 식별하고 보고할 수 있습니다. 그들은 속지 않을 것이며 이러한 위협에 대처하거나 대응하는 방법을 정확히 알게 될 것입니다.

ID 접근 관리(IAM) 솔루션 사용

모든 내부 데이터를 암호화하고 고급 암호화 표준(AES) 알고리즘과 같은 표준을 사용하여 공급망 공격 사건 중 범죄자가 데이터를 유출하기 위한 백도어를 생성하기 어렵게 해야 합니다. 미국 정부도 자체 보호를 위해 AES 암호화 기술을 사용합니다. 또한 제로 트러스트 아키텍처 구현에 집중하고 기본적으로 모든 네트워크 활동이 악의적이라고 가정해야 합니다. 아무도 믿지 말고 모두를 검증하십시오. 모든 연결 요청은 엄격한 정책 목록을 통과해야 합니다. 정책 엔진은 네트워크 트래픽 허용 여부를 결정해야 하며, 신뢰 알고리즘이 설정한 모든 규칙을 적용해야 합니다. 정책 관리자는 결정 사항과 변경 사항을 전달할 책임이 있습니다.

침해 발생을 당연시하는 사고방식 채택 역시 동등히 중요합니다. 이 경우 침해가 발생했다고 가정하고 그에 따라 행동하게 됩니다. 이는 모든 취약한 공격 경로에 걸쳐 능동적인 사이버 방어 전략을 배포하는 데 도움이 될 것입니다. 침해 위험이 가장 높은 세 가지 공격 백면은 프로세스, 사람, 기술입니다. 우수한 사이버 인식 교육은 공급망 공격을 보호하고 방어하는 데 있어 기초적인 기둥 중 하나입니다.

공급망 공격의 실제 사례

교훈을 얻을 수 있는 공급망 공격의 실제 사례는 다음과 같습니다.

1. 타겟(Target)의 데이터 침해

미국 슈퍼마켓 체인 타겟을 기억하십니까? 2013년경 데이터 유출 사고로 고객들의 신용카드 정보가 도난당했습니다. 오래전 일이지만, 타겟은 공급망 공격의 세계적으로 악명 높은 사례 중 하나가 되었습니다.

무슨 일이 있었나요? 타겟 시스템에 악성 코드가 심어졌습니다.

어떻게 침투했나요? HVAC 공급업체인 파지오 메카니컬 서비스(Fazio Mechanical Services)를 통해 침투했습니다.

결과는? 1,850만 달러의 합의금 청구, 4천만 건의 신용카드 및 체크카드 정보 도난, 그리고 상당한 평판 손상.

2. CCleaner 2017 해킹 사건

해커들은 서버를 직접 공격해 원본 소프트웨어를 악성 복제본으로 교체했습니다. 해당 코드는 파일 업데이트를 다운로드하여 설치한 230만 명의 사용자에게 배포되었습니다. 이들은 이를 알지 못한 채 심각한 감염 피해를 입었습니다.

어떻게 예방할 수 있었을까? CCleaner는 이 사건 발생 전에 패치 수정본을 배포하는 것만으로도 문제 확대를 막을 수 있었습니다. WannaCry 랜섬웨어 사건에서도 유사한 사례가 발생했는데, 공격 전에 패치가 출시되었지만 모든 최종 사용자에게 제때 적용되지 않았습니다.

결론

공급망 공격은 조직이 간과할 수 없는 가장 심각한 보안 위협 중 하나입니다. 허니 토큰 배포, 특권 접근 강화, 직원 교육, 제로 트러스트 아키텍처 구축 등 본 문서의 단계를 따름으로써 이러한 정교한 공격에 대한 노출을 최소화할 수 있습니다.

공격자들이 지속적으로 새로운 방법을 고안해 내기 때문에 공급망 보안은 선제적이어야 합니다. 최신 보안 제어 및 SentinelOne와 같은 새로운 보안 솔루션으로 전체 공급망의 취약점을 정기적으로 스캔하면 귀사가 다음 헤드라인을 장식하는 보안 침해 사고의 피해자가 되는 것을 방지할 수 있습니다.