Offcanvas

���������������

실제 사례로 살펴보는 보편적인 '공급망 공격' 유형 6가지

요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사했다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한 위협...

공급망공격 코드코브 솔라윈즈 패스워드스테이트 클릭스튜디오 의존성혼동 마임캐스트 Mimecast 소나타입 Sonatype

2021.06.04

요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사했다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한 위협...

2021.06.04

오픈소스 저장소 사용 시의 또 다른 위험, '의존성 혼동'이란 무엇인가

의존성 혼동(Dependency confusion)이란 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함이다. 공격자들은 이 문제를 이용해 개발 환경을 속일 수 있다. 즉, 비공개 저장소에 호스팅된 커스텀 패키지 대신에 커뮤니티 저장소에 게시된 악성 패키지를 끌어오도록 만드는 것이다. 소프트웨어 공급망의 복잡성 시놉시스(Synopsys)의 2020년 연구에 따르면, 기업이 사용하는 상용 애플리케이션 가운데 99% 이상에 오픈소스 코드가 들어 있으며, 이런 코드는 기업의 전체 코드에서 최소한 70%를 차지한다. 이는 모든 프로그래밍 언어에 이용 가능한 서드파티 구성요소와 패키지로 구성된 거대한 생태계 덕분이다.  자바(Java)에는 중앙 저장소가 있고 자바스크립트(JavaScript)에는 npm이 있으며, 파이썬(Python)에는 PyPI(Python Package Index, 파이썬 패키지 인덱스), 루비(Ruby)에는 루비젬(RubyGems)이 있는 식이다. 이들은 모두 커뮤니티에서 유지 관리하는 공개 저장소로서 패키지가 의존성으로 정의될 때 개발 도구는 이 곳으로부터 패키지를 끌어온다. 패키지 사이의 관계가 복잡하다는 것은 한 구성요소를 애플리케이션 내에 의존성으로 끌어올 경우 수십 개 내지 수백 개의 다른 애플리케이션을 가져오는 결과를 낳을 수 있다는 의미다. 이런 점은 특히 저장소의 감시가 잘 이루어지지 않을 경우, 공격자들이 악용할 소지가 있다고 보안 연구원들이 오래 전부터 경고해 왔다. 과거에 해커들은 정상적인 패키지 개발자들을 해킹해 패키지에 악성코드를 주입했다. 그 결과, 해당 패키지를 의존성으로 갖고 있는 다른 많은 정상적인 패키지도 피해를 입었다. 공격자들은 개발자들이 애플리케이션 의존성을 정의할 때 이름을 잘못 입력하기를 기대하면서 정상적인 이름과 비슷한 이름의 구성요소를 업로드하기도 했다. 이런 공격을 '타이포스쿼팅(Typosquatting)'이라고 한다....

오픈소스 의존성혼동 Dependency confusion 공급망

2021.03.05

의존성 혼동(Dependency confusion)이란 소프트웨어 개발 도구가 공개 및 비공개 저장소에서 서드파티 패키지를 끌어오는 기본 방식에서 새롭게 발견된 논리적 결함이다. 공격자들은 이 문제를 이용해 개발 환경을 속일 수 있다. 즉, 비공개 저장소에 호스팅된 커스텀 패키지 대신에 커뮤니티 저장소에 게시된 악성 패키지를 끌어오도록 만드는 것이다. 소프트웨어 공급망의 복잡성 시놉시스(Synopsys)의 2020년 연구에 따르면, 기업이 사용하는 상용 애플리케이션 가운데 99% 이상에 오픈소스 코드가 들어 있으며, 이런 코드는 기업의 전체 코드에서 최소한 70%를 차지한다. 이는 모든 프로그래밍 언어에 이용 가능한 서드파티 구성요소와 패키지로 구성된 거대한 생태계 덕분이다.  자바(Java)에는 중앙 저장소가 있고 자바스크립트(JavaScript)에는 npm이 있으며, 파이썬(Python)에는 PyPI(Python Package Index, 파이썬 패키지 인덱스), 루비(Ruby)에는 루비젬(RubyGems)이 있는 식이다. 이들은 모두 커뮤니티에서 유지 관리하는 공개 저장소로서 패키지가 의존성으로 정의될 때 개발 도구는 이 곳으로부터 패키지를 끌어온다. 패키지 사이의 관계가 복잡하다는 것은 한 구성요소를 애플리케이션 내에 의존성으로 끌어올 경우 수십 개 내지 수백 개의 다른 애플리케이션을 가져오는 결과를 낳을 수 있다는 의미다. 이런 점은 특히 저장소의 감시가 잘 이루어지지 않을 경우, 공격자들이 악용할 소지가 있다고 보안 연구원들이 오래 전부터 경고해 왔다. 과거에 해커들은 정상적인 패키지 개발자들을 해킹해 패키지에 악성코드를 주입했다. 그 결과, 해당 패키지를 의존성으로 갖고 있는 다른 많은 정상적인 패키지도 피해를 입었다. 공격자들은 개발자들이 애플리케이션 의존성을 정의할 때 이름을 잘못 입력하기를 기대하면서 정상적인 이름과 비슷한 이름의 구성요소를 업로드하기도 했다. 이런 공격을 '타이포스쿼팅(Typosquatting)'이라고 한다....

2021.03.05

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13