공급망 공격이란?
공급망 공격(Supply chain attack)은 해커가 업스트림 소프트웨어 또는 서비스 소매업체, 유통업체 또는 공급업체의 시스템에 침입하여 고객의 다운스트림 시스템에 접근하려는 유형의 사이버 공격이다.
예를 들어, 해커는 소프트웨어 공급업체를 표적으로 삼아 코드 및 멀웨어를 포함한 악성 소프트웨어 업데이트를 고객에게 배포하려고 시도할 수 있다. 이러한 위협은 소프트웨어 공급망의 모든 부문을 대상으로 할 수 있다.
공급망 공격에는 크게 두 가지 형태가 있다.
- 하드웨어 공급망 공격: USB 드라이브나 휴대전화 같은 물리적 하드웨어 구성 요소를 손상시켜 다른 장치를 감염시킨다.
- 소프트웨어 공급망 공격: 소프트웨어 공급업체의 환경이나 코드 베이스에 침투하여 이를 변경하고 고객에게 유해한 코드와 업데이트를 전송한다.
소프트웨어 공급망 공격의 유형
소프트웨어 공급망 해킹은 다양한 형태와 규모로 발생한다. 가장 일반적인 유형은 다음과 같다.
- 소프트웨어 개발 환경 해킹: 사이버 범죄자들이 기업의 소프트웨어 개발 환경에 침입하여, 애플리케이션의 소스 코드를 변경하고 고객의 데이터를 수집할 수 있는 소프트웨어 업데이트를 배포한다.
- 인증서 도용: 조직의 코드 서명 인증서를 훔쳐 악성 도구가 안전하고 합법적인 것처럼 보이게 만든다.
- 손상된 디바이스 배포: USB 드라이브, 카메라, 휴대폰과 같은 하드웨어 디바이스를 멀웨어로 감염시켜 다른 디바이스와 네트워크에 악성 코드를 퍼뜨린다.
- 펌웨어 타겟팅: 일부 공격자는 컴퓨터의 펌웨어에 악성 코드를 삽입하여 사용자가 컴퓨터를 부팅할 때 실행되도록 한다.
공급망 공격의 예
지난 몇 년 동안 주목할 만한 소프트웨어 공급망 공격 사고가 여러 건 발생했다.
주요 공급망 공격 | 내용, 시기, 대상 |
솔라윈즈(SolarWinds) 공급망 공격 | 가장 큰 공급망 공격 사례 중 하나는 2020년 12월에 발생한 것으로, 해커가 솔라윈즈의 환경에 악성 코드를 주입하고 트로이 목마 버전의 오리온 플랫폼을 만들어 18,000명의 다운스트림 고객에 악성 업데이트를 배포한 사건이다. |
3CX 공급망 공격 | 2023년 초, 기업 전화 시스템 공급업체인 3CX는 직원이 회사 웹 사이트에서 멀웨어에 감염된 트레이딩 테크놀로지의 엑스트레이더(X_Trader)라는 금융 소프트웨어를 다운로드하면서 보안이 침해당했다. 이후 해커들은 3CX 시스템 액세스 권한을 이용해 고객 네트워크에 악성 코드를 심었다. |
카세야(Kaseya) 공급망 공격 | 2021년 7월, 해커들은 1,000개 이상의 조직 시스템에 액세스할 수 있는 카세야의 원격 IT 모니터링 제품 VSA를 손상시키고, 범용 암호 해독 키에 대한 몸값으로 7,000만 달러의 금품을 요구했다. |
공급망 공격은 얼마나 자주 일어나나?
이러한 유형의 공격은 꽤 흔하다. 사이버 범죄자들이 한 고부가가치 공급업체의 환경에 침입할 수 있다면 수백, 수천 개의 다운스트림 고객사의 내부 시스템에 접근할 수 있다는 사실을 알고 있기 때문이다.
실제로 연구에 따르면 2022년에는 공급망 공격이 멀웨어 기반 공격의 수를 40%나 능가했다. 1,743건의 공급망 공격이 1,000만 명 이상의 사람들에게 영향을 미친 반면, 멀웨어 기반 공격은 70건의 공격으로 430만 명에게 영향을 미쳤다.
금전적 이유로 범죄를 저지르는 사이버 범죄자는 단 하나의 업체를 공격하는 것만으로도 여러 고객의 내부 환경에 접근하여 상당한 투자 수익을 창출할 수 있다는 것을 알고 있다.
공급망 공격의 빈도가 높다는 것은 조직이 서비스를 계약하기 전에 써드파티 공급업체의 보안 상태를 선제적으로 평가할 필요가 있음을 의미한다.
공급망 공격을 예방하는 방법
공급망 공격을 예방하는 것은 전통적인 사이버 공격을 예방하는 것보다 어려운 일이다. 조직은 업스트림 공급업체가 데이터를 보호하기 위해 사용하는 보안 조치와 절차를 통제할 수 없기 때문이다.
대신, 조직은 공급업체에 대한 실사를 통해 지속적으로 위험 평가를 수행하고 보안 관행 및 인증에 대한 정보를 수집하는 등의 조치를 취하여 소프트웨어 공급업체가 해커들로부터 보호되고 있는지 확인해야 한다.
보다 구체적으로, 조직이 타사의 위험을 관리하고 데이터 유출을 방지하기 위해 취할 수 있는 몇 가지 주요 단계가 있다.
- 위험 평가를 실시하여 소프트웨어 공급망의 취약점을 파악한다.
- 공급망 위험을 지속적으로 평가할 수 있는 공식 위험 관리 프로그램을 구축한다.
- 계약 기간 동안 써드파티 서비스 제공업체의 보안 상태를 지속적으로 모니터링한다.
- 개발 중 안전한 소프트웨어 개발 관행 사용, 취약점 공개 및 대응 프로그램 유지, 패치 관리 전략, 승인된 공급업체 목록 및 구성 요소 인벤토리 유지 등 보안 모범 사례를 구현하고 있는지 써드파티 업체에 문의한다.
- 공격이 발생할 경우 신속하게 대응할 수 있도록 사고 대응 계획을 수립한다.
- IAM(identity and access management)와 PAM(Privileged access management)을 구현하여 공격자가 네트워크 내에서 횡적 이동을 하기 어렵게 만든다.
- 새로운 공급망 위협이 발생하는지 식별하기 위해 위협 인텔리전스를 사용한다.
소프트웨어 공급망 보안
소프트웨어 공급망 보안은 써드파티 공급업체에 의존하는 조직이라면 간과할 수 없는 부분이다.
공급망 위험을 완전히 제거할 수는 없겠지만, 사이버 보안에 투자한 실적이 있는 인증된 서비스 제공업체와만 협력함으로써 보안 위협에 노출될 가능성을 최소화할 수 있다.