2021.05.17

강은성의 보안 아키텍트ㅣ공급 사슬 보안, 어떻게 할까?

강은성 | CIO KR
2020년 12월 파이어아이(FireEye)의 자체 조사로 드러난 솔라윈즈(SolarWinds) 공급 사슬(Supply-chain) 공격의 후폭풍이 여전히 진행 중이다. 이 사건은 공격자가 네트워크 관리 솔루션 기업 솔라윈즈의 원격 IT 모니터링 및 관리 소프트웨어인 오리온(Orion)의 패치를 통해 악성코드를 배포하여 오리온을 사용하는 조직에 침투한 사건이다. 이후 오리온 서버에 설치된 악성코드를 이용해 여러 다른 악성코드가 배포됐음이 드러났다. 미국 상무부, 국토안보부, 재무부, 에너지부 등 연방정부뿐 아니라 민간 기업도 여럿 피해를 당했고, 지난 4월에는 유럽연합 6개 기관이 피해를 봤다는 뉴스도 나왔다. 

공급 사슬을 통한 보안 공격이 이슈로 떠오른 것은 당대 세계 최고의 보안기술업체 위치를 점했던 RSA의 OTP 솔루션 SecurID의 기밀정보가 해킹됐던 때다. 
 
<그림 1> SecurID 인증 프로세스 (출처: SecureWorks, 2011.03.17)

2011년 SecurID의 기밀정보 해킹은 SecurID 고객사인 세계적인 군수업체 록히드마틴 등 쟁쟁한 기업에 대한 공격으로 이어졌고, 국내에서도 금융감독원이 각 은행의 SecurID 교체 현황을 발표할 정도로 영향이 있었다. 당시 만만치 않은 비용의 SecurID를 도입할 정도의 조직이면 보안이 중요한 대형 조직이기 때문에 파장이 더욱 컸다. 

국내에서 공급 사슬이 주목받은 것은 2018년 10월 대법원에서 일제의 불법 강제 징용에 대한 배상 판결을 내린 뒤 일본이 이에 대한 ‘보복 조치’로 2019년 7월에 우리나라 핵심 반도체 소재 공급을 중단하면서부터다. 이때 우리는 세계 경제가 국경을 넘어 촘촘한 공급 사슬로 연결돼 있음을 알게 됐고 공급 사슬에 여전히 국경이 존재한다는 점 역시 깨닫게 됐다. 

공급 사슬은 한 기업이 제품과 서비스를 제공하기 위해 기업 외부에서 제공받는 SW 및 장비, 부품, SW 모듈, 서비스를 포함한다. 한 마디로 매우 넓다. 협력업체 네트워크를 통해 대규모 고객정보 유출 사고가 발생한 미국의 소매점 타겟(Target)이나 외주 개발 인력의 자택 PC가 악성코드에 감염돼 고객정보가 유출된 국내 A사 또한 공급 사슬 공격에 의한 보안 사고로 분류된다. 

조직의 정보보호 및 개인정보보호 관리체계를 인증하는 ISMS-P 인증에서는 ‘외부자 보안’을 위해 명확히 파악해야 할 ‘업무 위탁 및 외부 시설·서비스의 이용 현황’의 예시로 “정보시스템 개발·운영 및 유지보수, 보안관제, 경비, 정보보호컨설팅, 개인정보 처리위탁, 고객 상담, 데이터센터(IDC) 이용, 클라우드 서비스, 애플리케이션 서비스(ASP)” 등을 든다. 이러한 ‘외부자’를 통해 조직 내부에 개인정보 유출 사고와 같은 보안 위험이 발생할 수 있기 때문이다. ‘외부자’는 공급 사슬 보안 측면에서도 고려해야 할 요소 중 하나다. 

하지만 온라인 SW 업데이트가 일반화된 환경에서 무엇보다도 공급 사슬 보안 공격의 주요 통로는 역시 여러 제품의 온라인 업데이트다.
 
<그림 2> 에이수스 업데이트 시스템 침해사고 개념도 (출처: 디지털데일리, 2019.07.19)

버그나 보안취약점 보완, 제품의 기능 개선이나 업그레이드, 콘텐츠 추가 등 다양한 이유로 운영체제를 포함해 온갖 SW가 온라인으로 업데이트된다.

별로 업데이트가 없을 것 같은 산업제어시스템(ICS)이나 운영기술(OT) 시스템에도 온라인 SW 업데이트 기능이 있는 경우가 상당하다. SW를 제품이나 제품의 일부로 공급하는 업체 다수가 온라인 SW 업데이트를 제공한다고 봐도 과언이 아니다. SW 공급 사슬을 악용한 사이버 공격의 대상이 많은 셈이다.

최근 SW 공급 사슬 이슈가 커지자 미국에서는 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)과 국립표준기술연구소(NIST)가 공동으로 「Defending Against Software Supply Chain Attacks」(2021.04.)이라는 문서를 내놨다. 공급 사슬 중에서도 SW 공급 사슬에 초점을 맞춘 문서다.

이 문서에서 SW 공급 사슬의 공격 기술을 (1) 업데이트 하이재킹(공격자가 SW 업체의 네트워크에 침입하여 배포될 SW 업데이트에 악성코드를 삽입하거나 공격자가 해당 SW를 제어할 수 있도록 변경), (2) 코드 서명을 훼손하여 신뢰받는 공급 업체로 위장, (3) 개발자가 사용할 수 있는 오픈 소스 코드에 악성코드 삽입 이 세 가지로 분류한다. 

이 문서에서는 SW 사용자(고객사)와 SW 공급자(개발사)를 위한 예방책을 별도로 내놓았다. SW 사용자의 예방책으로는 조직 전체적으로 안전한 SW 획득을 위한 거버넌스를 수립하고 (1) 공급업체에 내부와 동일한 보안 정책 적용, (2) 공급업체의 중요도와 ICT에 부여된 권한에 따라 보안 요구사항 설정, (3) 공급업체에 대한 인증을 통해 그들이 안전한 SW 개발 생명주기(SDLC)를 사용하고 취약점 완화 및 관리 프로세스와 활동을 수행하고 있는지 확인, (4) 공급업체와 그 협력업체가 개발한 SW 컴포넌트 내용 요구, (5) 공급업체가 자사와 같은 공급 사슬 보안 요구사항을 적용하도록 보증할 것을 권고한다. 

아무래도 미국 정부 기관에서 작성한 내용이다 보니 민간 시장에서 잘 작동하지 않을 내용도 보이긴 하지만 참고할 만한 내용도 있다. 특히 관련 거버넌스를 구축하는 것은 위험을 관리하는 데 매우 중요하다.

실무적으로는 SW 구매 시 필요한 보안 요구사항을 작성하고 회사에서 현재 사용하는 SW와 온라인 업데이트 여부를 파악하는 것이 출발점이다. 내용을 들여다볼수록 공급 사슬 보안은 한 방에 해결할 수 있는 대책(Silver bullet)은 보이지 않는다. 천 리 길도 한 걸음부터 가는 수밖에 없다. 

 
* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 



2021.05.17

강은성의 보안 아키텍트ㅣ공급 사슬 보안, 어떻게 할까?

강은성 | CIO KR
2020년 12월 파이어아이(FireEye)의 자체 조사로 드러난 솔라윈즈(SolarWinds) 공급 사슬(Supply-chain) 공격의 후폭풍이 여전히 진행 중이다. 이 사건은 공격자가 네트워크 관리 솔루션 기업 솔라윈즈의 원격 IT 모니터링 및 관리 소프트웨어인 오리온(Orion)의 패치를 통해 악성코드를 배포하여 오리온을 사용하는 조직에 침투한 사건이다. 이후 오리온 서버에 설치된 악성코드를 이용해 여러 다른 악성코드가 배포됐음이 드러났다. 미국 상무부, 국토안보부, 재무부, 에너지부 등 연방정부뿐 아니라 민간 기업도 여럿 피해를 당했고, 지난 4월에는 유럽연합 6개 기관이 피해를 봤다는 뉴스도 나왔다. 

공급 사슬을 통한 보안 공격이 이슈로 떠오른 것은 당대 세계 최고의 보안기술업체 위치를 점했던 RSA의 OTP 솔루션 SecurID의 기밀정보가 해킹됐던 때다. 
 
<그림 1> SecurID 인증 프로세스 (출처: SecureWorks, 2011.03.17)

2011년 SecurID의 기밀정보 해킹은 SecurID 고객사인 세계적인 군수업체 록히드마틴 등 쟁쟁한 기업에 대한 공격으로 이어졌고, 국내에서도 금융감독원이 각 은행의 SecurID 교체 현황을 발표할 정도로 영향이 있었다. 당시 만만치 않은 비용의 SecurID를 도입할 정도의 조직이면 보안이 중요한 대형 조직이기 때문에 파장이 더욱 컸다. 

국내에서 공급 사슬이 주목받은 것은 2018년 10월 대법원에서 일제의 불법 강제 징용에 대한 배상 판결을 내린 뒤 일본이 이에 대한 ‘보복 조치’로 2019년 7월에 우리나라 핵심 반도체 소재 공급을 중단하면서부터다. 이때 우리는 세계 경제가 국경을 넘어 촘촘한 공급 사슬로 연결돼 있음을 알게 됐고 공급 사슬에 여전히 국경이 존재한다는 점 역시 깨닫게 됐다. 

공급 사슬은 한 기업이 제품과 서비스를 제공하기 위해 기업 외부에서 제공받는 SW 및 장비, 부품, SW 모듈, 서비스를 포함한다. 한 마디로 매우 넓다. 협력업체 네트워크를 통해 대규모 고객정보 유출 사고가 발생한 미국의 소매점 타겟(Target)이나 외주 개발 인력의 자택 PC가 악성코드에 감염돼 고객정보가 유출된 국내 A사 또한 공급 사슬 공격에 의한 보안 사고로 분류된다. 

조직의 정보보호 및 개인정보보호 관리체계를 인증하는 ISMS-P 인증에서는 ‘외부자 보안’을 위해 명확히 파악해야 할 ‘업무 위탁 및 외부 시설·서비스의 이용 현황’의 예시로 “정보시스템 개발·운영 및 유지보수, 보안관제, 경비, 정보보호컨설팅, 개인정보 처리위탁, 고객 상담, 데이터센터(IDC) 이용, 클라우드 서비스, 애플리케이션 서비스(ASP)” 등을 든다. 이러한 ‘외부자’를 통해 조직 내부에 개인정보 유출 사고와 같은 보안 위험이 발생할 수 있기 때문이다. ‘외부자’는 공급 사슬 보안 측면에서도 고려해야 할 요소 중 하나다. 

하지만 온라인 SW 업데이트가 일반화된 환경에서 무엇보다도 공급 사슬 보안 공격의 주요 통로는 역시 여러 제품의 온라인 업데이트다.
 
<그림 2> 에이수스 업데이트 시스템 침해사고 개념도 (출처: 디지털데일리, 2019.07.19)

버그나 보안취약점 보완, 제품의 기능 개선이나 업그레이드, 콘텐츠 추가 등 다양한 이유로 운영체제를 포함해 온갖 SW가 온라인으로 업데이트된다.

별로 업데이트가 없을 것 같은 산업제어시스템(ICS)이나 운영기술(OT) 시스템에도 온라인 SW 업데이트 기능이 있는 경우가 상당하다. SW를 제품이나 제품의 일부로 공급하는 업체 다수가 온라인 SW 업데이트를 제공한다고 봐도 과언이 아니다. SW 공급 사슬을 악용한 사이버 공격의 대상이 많은 셈이다.

최근 SW 공급 사슬 이슈가 커지자 미국에서는 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)과 국립표준기술연구소(NIST)가 공동으로 「Defending Against Software Supply Chain Attacks」(2021.04.)이라는 문서를 내놨다. 공급 사슬 중에서도 SW 공급 사슬에 초점을 맞춘 문서다.

이 문서에서 SW 공급 사슬의 공격 기술을 (1) 업데이트 하이재킹(공격자가 SW 업체의 네트워크에 침입하여 배포될 SW 업데이트에 악성코드를 삽입하거나 공격자가 해당 SW를 제어할 수 있도록 변경), (2) 코드 서명을 훼손하여 신뢰받는 공급 업체로 위장, (3) 개발자가 사용할 수 있는 오픈 소스 코드에 악성코드 삽입 이 세 가지로 분류한다. 

이 문서에서는 SW 사용자(고객사)와 SW 공급자(개발사)를 위한 예방책을 별도로 내놓았다. SW 사용자의 예방책으로는 조직 전체적으로 안전한 SW 획득을 위한 거버넌스를 수립하고 (1) 공급업체에 내부와 동일한 보안 정책 적용, (2) 공급업체의 중요도와 ICT에 부여된 권한에 따라 보안 요구사항 설정, (3) 공급업체에 대한 인증을 통해 그들이 안전한 SW 개발 생명주기(SDLC)를 사용하고 취약점 완화 및 관리 프로세스와 활동을 수행하고 있는지 확인, (4) 공급업체와 그 협력업체가 개발한 SW 컴포넌트 내용 요구, (5) 공급업체가 자사와 같은 공급 사슬 보안 요구사항을 적용하도록 보증할 것을 권고한다. 

아무래도 미국 정부 기관에서 작성한 내용이다 보니 민간 시장에서 잘 작동하지 않을 내용도 보이긴 하지만 참고할 만한 내용도 있다. 특히 관련 거버넌스를 구축하는 것은 위험을 관리하는 데 매우 중요하다.

실무적으로는 SW 구매 시 필요한 보안 요구사항을 작성하고 회사에서 현재 사용하는 SW와 온라인 업데이트 여부를 파악하는 것이 출발점이다. 내용을 들여다볼수록 공급 사슬 보안은 한 방에 해결할 수 있는 대책(Silver bullet)은 보이지 않는다. 천 리 길도 한 걸음부터 가는 수밖에 없다. 

 
* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 

X