해커들은 여러분이 생각하는 것과는 달리 악명 높게 게으릅니다. 그들은 최소한의 노력으로 큰 성과를 노리는 것을 좋아합니다. 그 비결은 그들이 선택하는 표적에 있습니다. 서비스형 랜섬웨어(RaaS) 모델은 그들이 사이버 범죄 효율성의 정점에 도달한 대표적인 사례입니다. 공급망 공격은 그 직후 등장했으며, 전 세계 인프라를 마비시킬 정도로 널리 퍼졌습니다. 조 바이든 전 미국 대통령조차도 놀라 행정 명령을 발표하여 정부 기관에 전국적인 공급망 사이버 보안 기준 개혁을 지시했습니다.
하지만 이 이야기는 여기까지 하죠. 공급망 공격의 독특한 점은 무엇일까요? 왜 그렇게 위험한 걸까요? 왜 여러분이 관심을 가져야 할까요? 공급망 공격을 예방하는 방법은? 아직 이 질문들에 답할 수 없다면 계속 읽어보세요. 곧 알려드리겠습니다. 
공급망 공격이란 무엇인가요?
공급망 공격은 공급망의 취약점을 노리는 사이버 보안 공격입니다. 공급망은 기술, 인력, 자원, 제품, 사용자 및 조직 활동을 혼합합니다. 이는 조직을 하나로 묶어주며, 이러한 구성 요소들이 회사를 움직이게 합니다.
기존 워크플로우에 갑작스러운 중단이 발생하거나 비즈니스에 피해가 생길 경우, 이는 공급망 위협일 수 있습니다. 공급망 공격은 공급망의 취약점을 탐색하고 공급업체의 취약한 보안 태세를 악용할 기회를 찾습니다. 공급업체는 공유 데이터를 사용하기 때문에, 공급업체가 침해당하면 사용자와 그들과 관련된 모든 사람들도 영향을 받습니다.
공급망이 커지면 네트워크도 확장됩니다. 따라서 공격이 발생하면 여러 대상이 생성되고 손상됩니다.
공급망 공격은 어떻게 작동하나요?
공급망 공격은 신뢰 관계를 무너뜨리는 방식으로 작동합니다. 기업 자체를 직접 표적으로 삼기보다는 조직이 협력하는 공급업체와 벤더를 표적으로 삼습니다. 소프트웨어 기반 공급망 공격은 최신 라이브러리, 업데이트 및 구성 요소에 악성 코드를 주입하여 보안 인증서와 빌드 도구를 손상시킬 수 있습니다.
하드웨어 기반 공급망 공격은 악성 코드나 스파이 구성 요소를 주입하여 제조 및 유통 프로세스를 방해할 수 있습니다. 일부 공급망 공격은 빌드 파이프라인, 액세스 토큰, 하드코딩된 비밀 정보의 취약점과 같은 취약점을 악용할 수 있습니다. 이들은 권한을 상승시키고 네트워크 전반에 걸쳐 측면 이동을 시도할 수 있습니다.
SolarWinds 공급망 공격은 이러한 위협이 작동하는 방식을 보여주는 대표적인 사례입니다. 공격자들은 한 기업의 빌드 서버에 접근하여 업데이트에 백도어를 삽입했습니다. 또 다른 사례는 공격자들이 관리형 서비스 공급자를 해킹하여 여러 조직에 랜섬웨어를 감염시킨 사건이었습니다.
공급망 공격을 탐지하는 방법?
단일 방법이나 기술만으로는 공급망 공격을 탐지할 수 없습니다. 조직은 다양한 접근법을 결합하고 최신 AI 위협 탐지 기술을 활용하여 이러한 유형의 위협을 탐지하고 완화하는 능력을 성공적으로 강화해야 합니다.
공급망 공격 방어에 필수적인 요소인 지속적인 모니터링, 글로벌 위협 인텔리전스, 선제적 보안 태세를 반드시 활용해야 합니다.
네트워크에 대한 실시간 가시성 확보, 지속적인 네트워크 트래픽 모니터링, 그리고 보안 팀이 이러한 사건 및 기타 의심스러운 활동에 신속하게 대응할 수 있는 시설을 갖추는 것이 중요합니다.
공급망 공격을 탐지할 수 있는 몇 가지 방법은 다음과 같습니다.
일부 공격은 종속성 관리의 결함을 악용할 수 있습니다. 공격자는 내부 모듈과 동일하거나 유사한 이름이지만 더 높은 버전 번호를 가진 패키지를 등록할 수 있습니다. 개발자가 이러한 외부 패키지를 무심코 가져오면 악성 코드가 소프트웨어에 유입됩니다. 외부 저장소를 신중하게 통제하고 모니터링하지 않으면 일상적인 패키지 관리조차 취약점이 될 수 있습니다.
공격자는 코드 서명에 사용되는 개인 키를 획득할 수 있습니다. 이 키로 악성 소프트웨어에 디지털 서명을 하면 신뢰할 수 있는 것처럼 보이게 할 수 있습니다. 이는 기존 서명 인증서가 제공하는 보증을 약화시킵니다. 코드 서명 인증서와 같은 신뢰 메커니즘은 개인 키를 보호하는 프로세스의 보안 수준만큼만 안전합니다.
현대적인 네트워크 탐지 및 대응(NDR) 시스템은 정상적인 행동과의 편차를 모니터링할 수 있습니다. 머신 러닝 모델은 네트워크 내 일반적인 데이터 흐름을 학습할 수 있습니다. 트래픽이 암호화되어 있더라도 갑작스러운 변화는 경보를 유발해야 합니다. 개인 키 보호를 위해 하드웨어 보안 모듈(HSM) 또는 유사 솔루션을 사용할 수 있습니다. 이 외에도 정기적인 보안 검토 및 감사를 실시하십시오. 공급망 공격을 시뮬레이션하는 훈련을 수행하고 팀이 이러한 사고를 신속하게 대응하고 탐지할 수 있도록 하십시오.
FAQs
공급망 공격은 무수히 다양한 형태로 발생할 수 있습니다. 소프트웨어 기반 공격은 합법적인 업데이트나 소프트웨어에 악성 코드를 삽입합니다. 하드웨어 기반 공격은 생산 과정에서 하드웨어의 취약점을 악용합니다. 제3자 공격은 시스템 접근 권한을 가진 공급업체를 표적으로 삼습니다. 코드 서명 공격은 위조된 디지털 서명을 사용하여 악성 코드를 합법적으로 보이게 합니다. 각 공격은 공급망 내 서로 다른 취약점을 악용하므로 이를 해결하기 위해 서로 다른 보안 조치가 필요합니다.
침해 공격자는 공급망에서 가장 취약한 연결고리, 주로 보안 수준이 낮은 소규모 공급업체를 찾아냅니다. 이들은 해당 공급업체를 공격한 후 합법적인 접근 권한을 활용해 주요 표적에 접근합니다. 소프트웨어 업데이트를 방해하거나 개발 환경에 백도어를 삽입하거나 제3자 서비스 공급자의 인증 정보를 탈취할 수 있습니다. 내부 침투 후에는 측면 이동을 시작하며, 가치 있는 자산 수준으로 권한을 상승시키거나 랜섬웨어를 배포합니다.
네트워크 트래픽에서 의심스러운 패턴을 추적하십시오. 행동 분석을 구현하여 일반적인 운영과 다른 의심스러운 패턴을 탐지하십시오. 공급업체의 보안 프로세스를 정기적으로 감사하고 명시적인 보안 요구 사항을 포함시키세요. 네트워크에 고급 엔드포인트 탐지 소프트웨어를 구현하세요. 인공지능 시스템을 사용하여 실시간으로 잠재적 위협을 스캔하세요. 설치 전에 소프트웨어 업데이트의 무결성을 확인하세요. 24시간 연중무휴 모니터링이 가능한 보안 운영 센터를 구현하세요.
측면 이동을 방지하기 위해 즉시 침해된 시스템을 격리하십시오. 침해 범위를 파악하기 위해 사고 대응 팀을 가동하십시오. 공격 경로와 영향을 받은 공급망 구성 요소를 확인하십시오. 규정에 따라 영향을 받은 공급업체 및 고객에게 통지하십시오. 분석을 위해 포렌식 증거를 보존하십시오. 유사한 공격을 차단하기 위한 대응 조치를 적용하십시오. 알려진 깨끗한 백업으로 시스템을 복원하십시오. 경험을 바탕으로 보안 정책을 업데이트하고 조정하십시오.
먼저, 영향을 받은 시스템을 격리하여 침해 영역을 차단하십시오. 공급망 내에서 침해 지점을 찾아내십시오. 보안 전문가와 협력하여 악성 코드를 제거하십시오. 규정 준수 요건에 따라 이해관계자에게 알리십시오. 깨끗한 백업본으로 시스템을 온라인 상태로 복구하십시오. 사건을 상세히 문서화하십시오. 공급업체에 대해 보다 철저한 검증 절차를 시행하십시오. 공급업체에 대한 보안 등급 제도를 도입하는 것을 고려하십시오. 계약서를 검토하여 보다 강력한 보안 요구사항을 추가하십시오.
공급망 공격은 당사자 간의 신뢰 관계를 악용하며 탐지하기 어렵습니다. 단일 침해로 수천 개의 기업에 영향을 미칠 수 있습니다. 신뢰할 수 있는 경로를 통해 침투함으로써 일반적인 보안 통제를 회피합니다. 탐지되기까지 높은 체류 시간을 가집니다. 현대 공급망의 복잡성은 공격자에게 수많은 잠재적 진입점을 제공합니다. 공격자는 단 한 번의 성공적인 침입으로 다수의 피해자를 접근하며, 최소한의 노력으로 최대의 피해를 입힙니다.