Offcanvas

���������������

칼럼 | 2022년은 소프트웨어 공급망 보안의 해

2020년이 소비재 공급망의 존재를 체감한 해였다면, 2021년은 소프트웨어 공급망에 대한 인식이 높아진 해였다. 2021년 가장 악명 높았던 소프트웨어 공급망 공격은 솔라윈즈(SolarWinds)로, 여러 미국 정부 기관과 수많은 고객이 악성코드에 감염된 솔라윈즈의 소프트웨어 업데이트 파일을 다운로드했다.     솔라윈즈뿐만이 아니었다. 최근에는 Log4j 취약점으로 소프트웨어 공급망의 약점이 여실히 드러났다. Log4j가 광범위하게 사용되는 오픈소스 자바 로깅 프레임워크인 만큼 취약점은 데이터 스토리지 서비스부터 온라인 비디오 게임에 이르기까지 수많은 애플리케이션을 위험에 빠뜨렸다. 프로덕션 단계에는 약식으로 유지 보수되는 코드가 많기 때문에 소프트웨어 공급망은 Log4j 취약점 같은 익스플로잇이 활동하기 좋은 환경이다. 여러 개발자가 약식으로 유지 보수되는 소프트웨어 라이브러리를 프로덕션에 투입하고, 이후에는 패치하지 않는다. 이런 문제는 현재 오픈소스에서 활발하게 논의하는 주제이기도 하다.  따라서 필자는 2022년을 소프트웨어 공급망 보안의 해로 선언한다. 선언으로 끝이 아니다. 2022년 기업이 소프트웨어 공급망 공격에 대한 방어력을 강화함에 따라 중요성이 높아질 것으로 예상되는 3가지 추세를 소개한다. 1. 디스트로리스의 확대 2022년부터 기업은 배포판 요소를 포함해 컨테이너 이미지를 신중하게 간소화하고 표준화하는 방법을 고민해야 한다. 아예 ‘디스트로리스(distroless)’를 추구해야 한다는 주장까지 있다.  디스트로리스 모델에서 애플리케이션은 여전히 컨테이너 이미지로 패키징되지만, 운영체제는 최소한의 흔적만 남는다. 패키지 관리자와 라이브러리, 셸을 제거해 운영체제의 최대한 많은 부분을 걷어 냄으로써 공격 표면을 줄이는 개념이다.  그러나 중요한 것은 서버리스 컴퓨팅에도 서버가 있듯이 디스트로리스 컴퓨팅에도 배포판은 존재한다는 것이다. 다만 적어질 뿐이다. 어쩌면 이것이 디스트로리스 ...

솔라윈즈 커세어 공급망공격

2022.01.07

2020년이 소비재 공급망의 존재를 체감한 해였다면, 2021년은 소프트웨어 공급망에 대한 인식이 높아진 해였다. 2021년 가장 악명 높았던 소프트웨어 공급망 공격은 솔라윈즈(SolarWinds)로, 여러 미국 정부 기관과 수많은 고객이 악성코드에 감염된 솔라윈즈의 소프트웨어 업데이트 파일을 다운로드했다.     솔라윈즈뿐만이 아니었다. 최근에는 Log4j 취약점으로 소프트웨어 공급망의 약점이 여실히 드러났다. Log4j가 광범위하게 사용되는 오픈소스 자바 로깅 프레임워크인 만큼 취약점은 데이터 스토리지 서비스부터 온라인 비디오 게임에 이르기까지 수많은 애플리케이션을 위험에 빠뜨렸다. 프로덕션 단계에는 약식으로 유지 보수되는 코드가 많기 때문에 소프트웨어 공급망은 Log4j 취약점 같은 익스플로잇이 활동하기 좋은 환경이다. 여러 개발자가 약식으로 유지 보수되는 소프트웨어 라이브러리를 프로덕션에 투입하고, 이후에는 패치하지 않는다. 이런 문제는 현재 오픈소스에서 활발하게 논의하는 주제이기도 하다.  따라서 필자는 2022년을 소프트웨어 공급망 보안의 해로 선언한다. 선언으로 끝이 아니다. 2022년 기업이 소프트웨어 공급망 공격에 대한 방어력을 강화함에 따라 중요성이 높아질 것으로 예상되는 3가지 추세를 소개한다. 1. 디스트로리스의 확대 2022년부터 기업은 배포판 요소를 포함해 컨테이너 이미지를 신중하게 간소화하고 표준화하는 방법을 고민해야 한다. 아예 ‘디스트로리스(distroless)’를 추구해야 한다는 주장까지 있다.  디스트로리스 모델에서 애플리케이션은 여전히 컨테이너 이미지로 패키징되지만, 운영체제는 최소한의 흔적만 남는다. 패키지 관리자와 라이브러리, 셸을 제거해 운영체제의 최대한 많은 부분을 걷어 냄으로써 공격 표면을 줄이는 개념이다.  그러나 중요한 것은 서버리스 컴퓨팅에도 서버가 있듯이 디스트로리스 컴퓨팅에도 배포판은 존재한다는 것이다. 다만 적어질 뿐이다. 어쩌면 이것이 디스트로리스 ...

2022.01.07

실제 사례로 살펴보는 보편적인 '공급망 공격' 유형 6가지

요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사했다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한 위협...

공급망공격 코드코브 솔라윈즈 패스워드스테이트 클릭스튜디오 의존성혼동 마임캐스트 Mimecast 소나타입 Sonatype

2021.06.04

요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사했다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한 위협...

2021.06.04

PHP 백도어 공격에서 드러난 오픈소스의 허점··· 효과적인 코드 검증이 필요하다

정체 불명의 공격자들이 PHP 프로젝트 중앙 코드 리포지토리에 침입, 인터넷의 웹사이트 대부분을 구동하는 런타임에 백도어를 집어넣을 목적으로 악성코드를 추가하는 사건이 발생했다. 공격 집단은 2명의 유명한 PHP 개발자를 가장했지만 코드 커밋(commit) 자체가 그다지 은밀하지는 않아서 몇 시간 만에 다른 개발자의 리뷰를 통해 발각됐다.   다행히 백도어가 소프트웨어 제품의 정식 릴리스에 진입해 일반 사용자에게도 배포된 최근 솔라윈즈(SolarWinds) 침해나 다른 공급망 공격과 같은 광범위한 영향은 없었다. 그러나 사고는 PHP를 유지하는 조직인 PHP 그룹(PHP Group)이 코드 인프라의 운영 방식을 재검토하는 계기가 됐다. 오픈소스 코드는 주요 인터넷 서비스의 중심에 위치하며 현대 애플리케이션 코드베이스의 대부분을 차지한다. 자원 봉사자에 의해 제한적인 리소스로 운영되는 경우가 많은 오픈소스 프로젝트를 대상으로 한 공급망 공격의 수는 지난 몇 년 동안 가파르게 증가했다. 또한 전문가들은 방어가 어려운 만큼 공격자 사이에서 공급망 공격 벡터의 인기가 앞으로 더 높아질 것으로 예상하고 있다. PHP 리포지토리에 무슨 일이 최근 PHP 창안자이자 코어 개발자인 라스무스 러도프의 이름으로 git.php.net의 php-src 리포지토리에 "[skip-ci] Fix typo"라는 이름의 코드 커밋이 푸시됐다. 2시간 후 다른 PHP 기여자가 코드에 오타가 있다는 코멘트를 남겼고, 이후 다른 개발자가 코드의 역할이 무엇인지를 물었다. 이 질문은 보안 전문가인 한 개발자의 관심을 끌었다. 개발자는 '문자열이 'zerodium'으로 시작하는 경우 useragent HTTP 헤더 내에서 PHP 코드를 실행하는 코드'라고 답을 남겼다. 기본적으로 이 코드는 백도어(backdoor)였다. 공격자가 HTTP 헤더에 특정 문자열이 포함된 요청을 보내는 간단한 방법으로 실행이 가능하며, 그러면 감염된 이 PHP 버전을 실행하는 모든 웹 서버에서 임의의 코...

PHP 공급망공격

2021.04.08

정체 불명의 공격자들이 PHP 프로젝트 중앙 코드 리포지토리에 침입, 인터넷의 웹사이트 대부분을 구동하는 런타임에 백도어를 집어넣을 목적으로 악성코드를 추가하는 사건이 발생했다. 공격 집단은 2명의 유명한 PHP 개발자를 가장했지만 코드 커밋(commit) 자체가 그다지 은밀하지는 않아서 몇 시간 만에 다른 개발자의 리뷰를 통해 발각됐다.   다행히 백도어가 소프트웨어 제품의 정식 릴리스에 진입해 일반 사용자에게도 배포된 최근 솔라윈즈(SolarWinds) 침해나 다른 공급망 공격과 같은 광범위한 영향은 없었다. 그러나 사고는 PHP를 유지하는 조직인 PHP 그룹(PHP Group)이 코드 인프라의 운영 방식을 재검토하는 계기가 됐다. 오픈소스 코드는 주요 인터넷 서비스의 중심에 위치하며 현대 애플리케이션 코드베이스의 대부분을 차지한다. 자원 봉사자에 의해 제한적인 리소스로 운영되는 경우가 많은 오픈소스 프로젝트를 대상으로 한 공급망 공격의 수는 지난 몇 년 동안 가파르게 증가했다. 또한 전문가들은 방어가 어려운 만큼 공격자 사이에서 공급망 공격 벡터의 인기가 앞으로 더 높아질 것으로 예상하고 있다. PHP 리포지토리에 무슨 일이 최근 PHP 창안자이자 코어 개발자인 라스무스 러도프의 이름으로 git.php.net의 php-src 리포지토리에 "[skip-ci] Fix typo"라는 이름의 코드 커밋이 푸시됐다. 2시간 후 다른 PHP 기여자가 코드에 오타가 있다는 코멘트를 남겼고, 이후 다른 개발자가 코드의 역할이 무엇인지를 물었다. 이 질문은 보안 전문가인 한 개발자의 관심을 끌었다. 개발자는 '문자열이 'zerodium'으로 시작하는 경우 useragent HTTP 헤더 내에서 PHP 코드를 실행하는 코드'라고 답을 남겼다. 기본적으로 이 코드는 백도어(backdoor)였다. 공격자가 HTTP 헤더에 특정 문자열이 포함된 요청을 보내는 간단한 방법으로 실행이 가능하며, 그러면 감염된 이 PHP 버전을 실행하는 모든 웹 서버에서 임의의 코...

2021.04.08

공급망 공격을 탐지하기 어려운 이유, '솔라윈드' 사건이 보여준다

러시아의 코지 베어(Cozy Bear)라 여겨지는 공격 그룹은 솔라윈드(SolarWinds)의 오리온(Orion) 소프트웨어의 해킹된 업데이트를 통해 정부 및 기업 시스템에 접근할 수 있었다. 대부분의 기관과 기업은 이런 유형의 소프트웨어 공급망 공격에 대비하지 못하고 있다.       최근 국가 후원의 공격자에 의한 주요 사이버보안업체 파이어아이 해킹 사건은 인기있는 네트워크 모니터링 제품에 대한 악의적인 업데이트를 통해 수행된, 주요 정부 기관과 기업에 영향을 미치는 훨씬 더 큰 공격의 일부였다. 이 사건은 소프트웨어 공급망 공격이 미치는 심각한 영향과 대부분의 기업이 이런 위협을 예방하고 탐지할 준비가 되어 있지 않다는 불행한 사실을 보여준다.     러시아 정부와 연계된 것으로 추정되는 이 공격 그룹은 지난 3월 시작된 장기 캠페인으로, 미국 재무부와 상무부 등 미국 정보 부처의 컴퓨터 시스템에 접속했다. 이 소식은 12월 12일 미국 국가 안정보장회의의 긴급회의를 촉발했다.    이 공격은 공격자가 오리온이라는 네트워크 및 애플리케이션 모니터링 플랫폼 개발업체인 솔라윈드의 인프라를 해킹한 다음, 해당 접근 권한을 사용해 소프트웨어 사용자에게 트로이목마화 된 업데이트를 생성하고 배포한 것으로 보인다. 솔라윈드는 뉴스가 나간 후, 웹 사이트에 있는 고객 명단 페이지를 삭제했다. 솔라윈드의 주요 고객은 미국 포춘지 선정 500대 기업 가운데 425개, 미국 상위 10대 통신업체, 미국 상위 5대 회계 법인, 미군, 미 국방부 및 국무부, 전 세계 수백 개의 대학 등 총 1만 8,000여 곳이다.  솔라윈드 소프트웨어 공급망 공격을 통해 공격자는 지난 주에 발표된 보안업체 파이어아이 네트워크에 접속할 수 있었다. 파이어아이 측은 공격자 집단의 이름을 특정하지 않았지만, 워싱턴포스트는 러시아의 외국 정보기관인 SVR의 해킹 부서인 코지 베어(Cozy Bear)라고 보도했다. ...

공급망공격 솔라윈드 코지베어 파이어아이

2020.12.18

러시아의 코지 베어(Cozy Bear)라 여겨지는 공격 그룹은 솔라윈드(SolarWinds)의 오리온(Orion) 소프트웨어의 해킹된 업데이트를 통해 정부 및 기업 시스템에 접근할 수 있었다. 대부분의 기관과 기업은 이런 유형의 소프트웨어 공급망 공격에 대비하지 못하고 있다.       최근 국가 후원의 공격자에 의한 주요 사이버보안업체 파이어아이 해킹 사건은 인기있는 네트워크 모니터링 제품에 대한 악의적인 업데이트를 통해 수행된, 주요 정부 기관과 기업에 영향을 미치는 훨씬 더 큰 공격의 일부였다. 이 사건은 소프트웨어 공급망 공격이 미치는 심각한 영향과 대부분의 기업이 이런 위협을 예방하고 탐지할 준비가 되어 있지 않다는 불행한 사실을 보여준다.     러시아 정부와 연계된 것으로 추정되는 이 공격 그룹은 지난 3월 시작된 장기 캠페인으로, 미국 재무부와 상무부 등 미국 정보 부처의 컴퓨터 시스템에 접속했다. 이 소식은 12월 12일 미국 국가 안정보장회의의 긴급회의를 촉발했다.    이 공격은 공격자가 오리온이라는 네트워크 및 애플리케이션 모니터링 플랫폼 개발업체인 솔라윈드의 인프라를 해킹한 다음, 해당 접근 권한을 사용해 소프트웨어 사용자에게 트로이목마화 된 업데이트를 생성하고 배포한 것으로 보인다. 솔라윈드는 뉴스가 나간 후, 웹 사이트에 있는 고객 명단 페이지를 삭제했다. 솔라윈드의 주요 고객은 미국 포춘지 선정 500대 기업 가운데 425개, 미국 상위 10대 통신업체, 미국 상위 5대 회계 법인, 미군, 미 국방부 및 국무부, 전 세계 수백 개의 대학 등 총 1만 8,000여 곳이다.  솔라윈드 소프트웨어 공급망 공격을 통해 공격자는 지난 주에 발표된 보안업체 파이어아이 네트워크에 접속할 수 있었다. 파이어아이 측은 공격자 집단의 이름을 특정하지 않았지만, 워싱턴포스트는 러시아의 외국 정보기관인 SVR의 해킹 부서인 코지 베어(Cozy Bear)라고 보도했다. ...

2020.12.18

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31