Offcanvas

������������

실제 사례로 살펴보는 보편적인 '공급망 공격' 유형 6가지

요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사했다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한 위협...

공급망공격 코드코브 솔라윈즈 패스워드스테이트 클릭스튜디오 의존성혼동 마임캐스트 Mimecast 소나타입 Sonatype

2021.06.04

요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사했다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한 위협...

2021.06.04

인섹시큐리티, 소나타입의 ‘넥서스 플랫폼’ 국내 출시 

인섹시큐리티가 소나타입의 오픈소스 관련 보안 취약점, 라이선스 위반, 악성코드 탐지 솔루션 ‘넥서스(nexus) 플랫폼’을 국내 출시한다고 밝혔다. 회사에 따르면 넥서스 플랫폼은 AI(인공지능)/ML(머신러닝) 및 전문 연구원들이 상시 분석한 오픈소스 소프트웨어의 최신 취약점 정보를 제공한다. 또한 기존 기업 및 기관의 SDLC(소프트웨어개발라이프사이클)에 연동돼 오픈소스의 취약점을 식별한다.   넥서스 플랫폼은 ▲SDLC(소프트웨어개발라이프사이클)에서 내부 정책에 어긋나거나 라이선스 위반, 보안 취약점이 존재하는 오픈소스의 유입을 방지하는 ‘넥서스 방화벽(Nexus Firewall)’ ▲저장소 아티팩트 및 라이브러리, 릴리즈를 식별하여 안전한 패키지만 제공하는 ‘넥서스 저장소(Nexus Repository)’ ▲SDLC의 모든 단계와 연동하여 지속적으로 보안위협을 식별하고 개발 정책을 적용하여 문제를 찾는 ‘넥서스 라이프사이클(Nexus Lifecycle)’ ▲시중에 사용중인 프로덕션 앱 내 OSS(오픈소스소프트웨어) 구성 요소를 검사하고 취약점을 식별하는 ‘넥서스 오디터(Nexus Auditor)’ 등으로 구성됐다. 넥서스 플랫폼은 다양한 경험과 경력을 가진 전문가를 구성해, 기존에 공개된 취약점 데이터베이스보다 방대한 오픈소스 취약점 정보를 분석해 제공하며, 지속적인 실시간 검사를 통해 공개된 취약점 데이터베이스에 조회하는 것보다 10배 이상 빠른 신속하게 새로운 오픈소스 취약점을 발견하고 진단 결과를 제공하여 조치할 수 있도록 지원한다고 회사 측은 설명했다. 또한 명시된 구성요소가 아닌 실제 포함된 요소를 검사해, 모든 임베디드 종속성을 검사하고 취약점을 식별한다. 또한 파일 이름 및 패키지 매니페스트(Package Manifest)가 아닌 ABF(Advanced Bianry Fingerprints)로 구성요소를 식별한다. 넥서스 인텔리전스(Nexus Intelligence) 기반 검사를 통해 오탐을 줄이고 정확한 탐지로 취약점을 식별...

인섹시큐리티 소나타입 오픈소스 보안 취약점 라이선스 위반 악성코드 탐지 넥서스 플랫폼

2020.08.13

인섹시큐리티가 소나타입의 오픈소스 관련 보안 취약점, 라이선스 위반, 악성코드 탐지 솔루션 ‘넥서스(nexus) 플랫폼’을 국내 출시한다고 밝혔다. 회사에 따르면 넥서스 플랫폼은 AI(인공지능)/ML(머신러닝) 및 전문 연구원들이 상시 분석한 오픈소스 소프트웨어의 최신 취약점 정보를 제공한다. 또한 기존 기업 및 기관의 SDLC(소프트웨어개발라이프사이클)에 연동돼 오픈소스의 취약점을 식별한다.   넥서스 플랫폼은 ▲SDLC(소프트웨어개발라이프사이클)에서 내부 정책에 어긋나거나 라이선스 위반, 보안 취약점이 존재하는 오픈소스의 유입을 방지하는 ‘넥서스 방화벽(Nexus Firewall)’ ▲저장소 아티팩트 및 라이브러리, 릴리즈를 식별하여 안전한 패키지만 제공하는 ‘넥서스 저장소(Nexus Repository)’ ▲SDLC의 모든 단계와 연동하여 지속적으로 보안위협을 식별하고 개발 정책을 적용하여 문제를 찾는 ‘넥서스 라이프사이클(Nexus Lifecycle)’ ▲시중에 사용중인 프로덕션 앱 내 OSS(오픈소스소프트웨어) 구성 요소를 검사하고 취약점을 식별하는 ‘넥서스 오디터(Nexus Auditor)’ 등으로 구성됐다. 넥서스 플랫폼은 다양한 경험과 경력을 가진 전문가를 구성해, 기존에 공개된 취약점 데이터베이스보다 방대한 오픈소스 취약점 정보를 분석해 제공하며, 지속적인 실시간 검사를 통해 공개된 취약점 데이터베이스에 조회하는 것보다 10배 이상 빠른 신속하게 새로운 오픈소스 취약점을 발견하고 진단 결과를 제공하여 조치할 수 있도록 지원한다고 회사 측은 설명했다. 또한 명시된 구성요소가 아닌 실제 포함된 요소를 검사해, 모든 임베디드 종속성을 검사하고 취약점을 식별한다. 또한 파일 이름 및 패키지 매니페스트(Package Manifest)가 아닌 ABF(Advanced Bianry Fingerprints)로 구성요소를 식별한다. 넥서스 인텔리전스(Nexus Intelligence) 기반 검사를 통해 오탐을 줄이고 정확한 탐지로 취약점을 식별...

2020.08.13

'파악도, 관리도 못한다' 기업에서 오픈소스를 안전하게 사용하려면?

많은 사람이 잘 모를 수도 있지만, 개발자들은 이미 오픈소스를 사용하고 있다. 문제는 얼마나 많은 오픈소스를 사용하고 있는지 정확히 파악하지도 못하고 있고, 안전하게 사용하지도 못한다는 데 있다. 오픈소스를 어떻게 관리하고, 왜 그렇게 해야 하는지 알아보자.  대기업들이 무분별할 정도로 오픈소스를 많이 사용하는 것처럼 보일 수 있다. 이에 대해 최근 SAS는 오픈소스 프로젝트의 수를 제한해야 한다고 주장했다. 이는 SAS가 겨냥하는 시장에서 데이터 과학과 분석용으로 오픈소스인 R 프로그래밍 언어 사용이 증가하고 있는데 대한 '저항'일 것이다. 그러나 여기에는 '좋은 지적'도 숨어있다. 오픈소스를 책임 있게 사용해야 한다는 것이다. 다시 말해 현재 사용중인 오픈소스를 파악하고, 추적하며, 유지관리 해야 한다는 의미다. 개발자들이 사용하고 있는 오픈소스의 수, 오픈소스가 초래하는 취약점을 잘 모르는 기업이 많다. 모르는 오픈소스 프로젝트를 대상으로 보안을 평가하고, 패치를 관리할 수 없는 법이다. 소나타입(Sonatype)의 '2016 소프트웨어 공급망 연구(2016 software supply chain study)'에 따르면, 써드파티 구성요소가 엔터프라이즈 자바 애플리케이션 코드의 80~90%를 차지하고 있다. 또 기업이 다운로드 받는 구성요소 6개 가운데 1개에 보안 취약점이 있다. 오래된 구성요소의 보안 취약점은 새 구성요소보다 3배 더 많다. 그런데 기업용 앱에서 쓰이는 구성요소 가운데 개발된 지 2년 이상인 구성요소가 절반 이상이다. 하트블리드(Heartbleed) 버그가 발견된 지 2년이다. 그런데 시스코 보안 연구소(Cisco Security Research)가 2015년 테스트 한 오픈SSL(OpenSSL) 버전 가운데 절반 이상이 여전히 취약한 것으로 드러났다. 2014년 베라코드(Veracode)가 애플리케이션 5,000개를 스캔한 결과에 따르면, 기업용 웹 애플...

라이선스 소나타입 기트허브 하트블리드 OpenSSL R 데브옵스 분석 시스코 소프트웨어 SAS 거버넌스 구글 CIO 크리에이티브 커먼즈

2017.04.26

많은 사람이 잘 모를 수도 있지만, 개발자들은 이미 오픈소스를 사용하고 있다. 문제는 얼마나 많은 오픈소스를 사용하고 있는지 정확히 파악하지도 못하고 있고, 안전하게 사용하지도 못한다는 데 있다. 오픈소스를 어떻게 관리하고, 왜 그렇게 해야 하는지 알아보자.  대기업들이 무분별할 정도로 오픈소스를 많이 사용하는 것처럼 보일 수 있다. 이에 대해 최근 SAS는 오픈소스 프로젝트의 수를 제한해야 한다고 주장했다. 이는 SAS가 겨냥하는 시장에서 데이터 과학과 분석용으로 오픈소스인 R 프로그래밍 언어 사용이 증가하고 있는데 대한 '저항'일 것이다. 그러나 여기에는 '좋은 지적'도 숨어있다. 오픈소스를 책임 있게 사용해야 한다는 것이다. 다시 말해 현재 사용중인 오픈소스를 파악하고, 추적하며, 유지관리 해야 한다는 의미다. 개발자들이 사용하고 있는 오픈소스의 수, 오픈소스가 초래하는 취약점을 잘 모르는 기업이 많다. 모르는 오픈소스 프로젝트를 대상으로 보안을 평가하고, 패치를 관리할 수 없는 법이다. 소나타입(Sonatype)의 '2016 소프트웨어 공급망 연구(2016 software supply chain study)'에 따르면, 써드파티 구성요소가 엔터프라이즈 자바 애플리케이션 코드의 80~90%를 차지하고 있다. 또 기업이 다운로드 받는 구성요소 6개 가운데 1개에 보안 취약점이 있다. 오래된 구성요소의 보안 취약점은 새 구성요소보다 3배 더 많다. 그런데 기업용 앱에서 쓰이는 구성요소 가운데 개발된 지 2년 이상인 구성요소가 절반 이상이다. 하트블리드(Heartbleed) 버그가 발견된 지 2년이다. 그런데 시스코 보안 연구소(Cisco Security Research)가 2015년 테스트 한 오픈SSL(OpenSSL) 버전 가운데 절반 이상이 여전히 취약한 것으로 드러났다. 2014년 베라코드(Veracode)가 애플리케이션 5,000개를 스캔한 결과에 따르면, 기업용 웹 애플...

2017.04.26

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5