Offcanvas

������������

솔라윈즈, 차세대 빌드 시스템 발표

솔라윈즈가 소프트웨어 개발을 위한 새로운 변형모델로 ‘차세대 빌드 시스템(Next-Generation Build System)'을 19일 공개했다.  새로운 소프트웨어 개발 프로세스는 ‘시큐어 바이 디자인(Secure by Design)’ 이니셔티브의 핵심으로, 솔라윈즈를 엔터프라이즈 소프트웨어 보안에 있어 기준이 되는데 기여할 구심점이 될 것으로 업체 측은 기대하고 있다.   솔라윈즈는 자사와 다른 테크 기업을 매우 정교하게 공격한 선버스트(SUNBURST)에 대한 대응으로 지난 1년 동안 일정보다 빠르게 소프트웨어를 개발하고, 개발 프로세스를 개선했다. 차세대 빌드 시스템은 개발 환경의 무결성 강화를 위한 새로운 소프트웨어 개발 방법과 기술 모두 포함한다. 업계 첫 ‘병렬 빌드’ 프로세스로 구성돼, 솔라윈즈 소프트웨어 개발이 보안 높은 다수의 중복 패스를 통해 무결성 검사 기반을 구축한다. 솔라윈즈가 선버스트 공격 당시 사용한 소프트웨어 개발 프로세스는 테크 산업 전반에 걸쳐 통용되고 있다. 때문에 솔라윈즈는 새로운 개발 시스템 구성 요소를 오픈소스 소프트웨어로 공개해 자사가 얻은 교훈이 다른 조직에게 도움이 되고 안전한 소프트웨어 개발을 위한 새로운 산업 표준 수립을 지원한다고 밝혔다. 솔라윈즈의 사장 겸 CEO인 수다카 라마크리슈나는 “진화하는 사이버 위협으로부터 공유 사이버 인프라를 효과적으로 보호할 수 있는 유일한 방법은 업계 내 투명한 의사소통과 협력뿐”이라며, “솔라윈즈의 시큐어 바이 디자인 이니셔티브는 개발 시스템 및 프로세스 혁신을 통한 소프트웨어 공급망 보안의 새로운 표준 설정을 목표로 한다”고 말했다. ciokr@idg.co.kr

솔라윈즈

2022.07.19

솔라윈즈가 소프트웨어 개발을 위한 새로운 변형모델로 ‘차세대 빌드 시스템(Next-Generation Build System)'을 19일 공개했다.  새로운 소프트웨어 개발 프로세스는 ‘시큐어 바이 디자인(Secure by Design)’ 이니셔티브의 핵심으로, 솔라윈즈를 엔터프라이즈 소프트웨어 보안에 있어 기준이 되는데 기여할 구심점이 될 것으로 업체 측은 기대하고 있다.   솔라윈즈는 자사와 다른 테크 기업을 매우 정교하게 공격한 선버스트(SUNBURST)에 대한 대응으로 지난 1년 동안 일정보다 빠르게 소프트웨어를 개발하고, 개발 프로세스를 개선했다. 차세대 빌드 시스템은 개발 환경의 무결성 강화를 위한 새로운 소프트웨어 개발 방법과 기술 모두 포함한다. 업계 첫 ‘병렬 빌드’ 프로세스로 구성돼, 솔라윈즈 소프트웨어 개발이 보안 높은 다수의 중복 패스를 통해 무결성 검사 기반을 구축한다. 솔라윈즈가 선버스트 공격 당시 사용한 소프트웨어 개발 프로세스는 테크 산업 전반에 걸쳐 통용되고 있다. 때문에 솔라윈즈는 새로운 개발 시스템 구성 요소를 오픈소스 소프트웨어로 공개해 자사가 얻은 교훈이 다른 조직에게 도움이 되고 안전한 소프트웨어 개발을 위한 새로운 산업 표준 수립을 지원한다고 밝혔다. 솔라윈즈의 사장 겸 CEO인 수다카 라마크리슈나는 “진화하는 사이버 위협으로부터 공유 사이버 인프라를 효과적으로 보호할 수 있는 유일한 방법은 업계 내 투명한 의사소통과 협력뿐”이라며, “솔라윈즈의 시큐어 바이 디자인 이니셔티브는 개발 시스템 및 프로세스 혁신을 통한 소프트웨어 공급망 보안의 새로운 표준 설정을 목표로 한다”고 말했다. ciokr@idg.co.kr

2022.07.19

블로그 | 개발자가 SW 공급망에 가져야 할 질문···· '믿어도 되는가?'

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

Log4j 소프트웨어빌드환경 프로덕션환경 솔라윈즈 공급망공격 제로트러스트 공급망 보안

2022.07.15

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

2022.07.15

솔라윈즈, 차세대 ‘병렬 빌드’ 시스템 발표… 보안 내재화에 총력

솔라윈즈가 치명적인 피해를 본 공급망 공격을 교훈 삼아 보안을 한층 강화한 새 소프트웨어 개발 시스템을 구축했다고 30일 밝혔다.    2020년, 한 해커 조직이 ‘선버스트(Sunburst)’라 불리는 악성 코드를 솔라윈즈의 소프트웨어 개발 시스템 오리온(Orion)에 심어 큰 타격을 가한 이래로 이 회사는 공급망 공격의 대명사격이 됐다. 선버스트는 오리온을 업데이트한 전 세계의 수많은 정부와 기업 고객에게 유포되어 막대한 피해를 줬다.  솔라윈즈는 이 사태로 뼈아픈 교훈을 얻었다. 그리고 교훈의 결과로 지난 22일(현지 시각) 차세대 빌드 시스템(Next-Generation Build System)을 발표했다. 소프트웨어 개발 환경의 무결성을 강화하는 일련의 기술을 포함한 시스템이다. 업계 최초로 적용한 ‘병렬 빌드(parallel build)’ 프로세스가 특징이라고 회사는 밝혔다. 이 프로세스에서는 소프트웨어 개발이 여러 개의 안전한 중복 경로를 거쳐 이뤄지면서 무결성 검사를 위한 기반을 구축한다는 설명이다.  451 리서치(451 Research)의 정보 보안 및 네트워킹 연구 책임자 다니엘 케네디는 "빌드 시스템에 컴파일된 바이너리가 해당 바이너리를 생성하는 데 쓰인 소스 코드와 일치하는지 확인하는 무결성 검사 절차가 없는 경우, 이러한 새 접근방식은 보안을 크게 강화할 것”이라고 평가했다. 그는 “새로운 시스템이 (예상보다) 비교적 이른 시일 안에 개발되었기 때문에 완성도가 높으리라고 보장하기는 어렵다. 다만 새로운 위협 발생 시 더 신속하게 대응하는 듯하다. 또한 새 시스템은 설계상 더 높은 투명성을 확보해 소프트웨어 개선, 유지, 개발의 속도와 안정성을 높일 것이다”라고 덧붙였다.  기술 자문 회사 옴디아(Omdia)의 사이버 보안 부문 수석 애널리스트 릭 터너는 "앱데브(AppDev)에 대한 CI/CD 파이프라인 접근 방식은 선형적일 뿐만 아니라 기본적으로 단일 경로에 의존한다. 따...

무결성 병렬 처리 병렬빌드 솔라윈즈 솔라윈즈 해킹

2022.06.30

솔라윈즈가 치명적인 피해를 본 공급망 공격을 교훈 삼아 보안을 한층 강화한 새 소프트웨어 개발 시스템을 구축했다고 30일 밝혔다.    2020년, 한 해커 조직이 ‘선버스트(Sunburst)’라 불리는 악성 코드를 솔라윈즈의 소프트웨어 개발 시스템 오리온(Orion)에 심어 큰 타격을 가한 이래로 이 회사는 공급망 공격의 대명사격이 됐다. 선버스트는 오리온을 업데이트한 전 세계의 수많은 정부와 기업 고객에게 유포되어 막대한 피해를 줬다.  솔라윈즈는 이 사태로 뼈아픈 교훈을 얻었다. 그리고 교훈의 결과로 지난 22일(현지 시각) 차세대 빌드 시스템(Next-Generation Build System)을 발표했다. 소프트웨어 개발 환경의 무결성을 강화하는 일련의 기술을 포함한 시스템이다. 업계 최초로 적용한 ‘병렬 빌드(parallel build)’ 프로세스가 특징이라고 회사는 밝혔다. 이 프로세스에서는 소프트웨어 개발이 여러 개의 안전한 중복 경로를 거쳐 이뤄지면서 무결성 검사를 위한 기반을 구축한다는 설명이다.  451 리서치(451 Research)의 정보 보안 및 네트워킹 연구 책임자 다니엘 케네디는 "빌드 시스템에 컴파일된 바이너리가 해당 바이너리를 생성하는 데 쓰인 소스 코드와 일치하는지 확인하는 무결성 검사 절차가 없는 경우, 이러한 새 접근방식은 보안을 크게 강화할 것”이라고 평가했다. 그는 “새로운 시스템이 (예상보다) 비교적 이른 시일 안에 개발되었기 때문에 완성도가 높으리라고 보장하기는 어렵다. 다만 새로운 위협 발생 시 더 신속하게 대응하는 듯하다. 또한 새 시스템은 설계상 더 높은 투명성을 확보해 소프트웨어 개선, 유지, 개발의 속도와 안정성을 높일 것이다”라고 덧붙였다.  기술 자문 회사 옴디아(Omdia)의 사이버 보안 부문 수석 애널리스트 릭 터너는 "앱데브(AppDev)에 대한 CI/CD 파이프라인 접근 방식은 선형적일 뿐만 아니라 기본적으로 단일 경로에 의존한다. 따...

2022.06.30

솔라윈즈, 2022 IT 트렌드 리포트 발표…“네트워크 복잡성 증가로 IT 관리자의 신뢰도 감소”

솔라윈즈가 9번째 연례 IT 트렌드 보고서를 15일 발표했다. 올해의 보고서 ‘2022 솔라윈즈 IT 트렌드 리포트 2022 - IT의 올바른 이해: 하이브리드 IT의 복잡성 관리’는 가속화되는 디지털 혁신이 IT 부서에 미치는 영향에 대한 내용을 담고 있다. 조사 결과, 하이브리드 IT 가속화로 인해 대부분의 조직에서 네트워크 복잡성이 증가했으며, IT 전문가들은 몇 가지 문제에 당면한 것으로 나타났다.   하이브리드 IT 및 원격 근무는 분산되고 복잡한 IT 환경을 더욱 분산시키고 복잡하게 되는데 큰 영향을 끼쳤다고 솔라윈즈는 주장했다. 클라우드 및 온프레미스 인프라 모두에서 워크로드와 애플리케이션을 실행하는 것은 쉽지 않아 많은 조직이 이러한 고충을 점점 더 많이 경험하고 있으며, 궁극적으로 어려움을 겪고 있다고 보고서에서 밝혔다.  IT 관리자는 조직의 IT 관리 능력에 대한 자신감이 저조한 것으로 조사됐다. 응답자 중 44%가 복잡성을 관리하기 위해 모니터링 전략을 활용하고 있다고 답한 것과 별도로, 54%는 조직의 애플리케이션 및 인프라 대부분에 대한 가시성이 부족하다고 답했다. 이러한 가시성 부족은 비즈니스 크리티컬 애플리케이션의 가용성, 성능 및 보안을 보장하는 이상 징후 감지, 손쉬운 근본 원인 분석 및 기타 중요한 프로세스를 수행하는 능력에 영향을 미친다. 솔라윈즈의 수다카 라마크리슈나 사장은 “조직이 팬데믹을 극복하기 위해서는 지난 몇 년간의 투자를 재검토해야 한다”라며, “그 일환으로 IT 환경에 대한 가시성을 확보해 문제를 파악하고 계획된 프로젝트에서 목표로 하는 투자수익률(ROI)를 달성하기 위해 노력의 우선순위를 선정해야 한다”라고 지적했다. 보고서에 따르면, 하이브리드 IT의 지속적인 확장으로 IT 관리 복잡성이 증가하고 있지만 IT 관리자들은 최상의 IT 관리 방법에 대한 확신이 부족하다고 느끼는 것으로 나타났다.  하이브리드 IT의 가속화로 조직의 IT 관리의 복잡성이 증가했다는 응답은 29...

솔라윈즈

2022.06.15

솔라윈즈가 9번째 연례 IT 트렌드 보고서를 15일 발표했다. 올해의 보고서 ‘2022 솔라윈즈 IT 트렌드 리포트 2022 - IT의 올바른 이해: 하이브리드 IT의 복잡성 관리’는 가속화되는 디지털 혁신이 IT 부서에 미치는 영향에 대한 내용을 담고 있다. 조사 결과, 하이브리드 IT 가속화로 인해 대부분의 조직에서 네트워크 복잡성이 증가했으며, IT 전문가들은 몇 가지 문제에 당면한 것으로 나타났다.   하이브리드 IT 및 원격 근무는 분산되고 복잡한 IT 환경을 더욱 분산시키고 복잡하게 되는데 큰 영향을 끼쳤다고 솔라윈즈는 주장했다. 클라우드 및 온프레미스 인프라 모두에서 워크로드와 애플리케이션을 실행하는 것은 쉽지 않아 많은 조직이 이러한 고충을 점점 더 많이 경험하고 있으며, 궁극적으로 어려움을 겪고 있다고 보고서에서 밝혔다.  IT 관리자는 조직의 IT 관리 능력에 대한 자신감이 저조한 것으로 조사됐다. 응답자 중 44%가 복잡성을 관리하기 위해 모니터링 전략을 활용하고 있다고 답한 것과 별도로, 54%는 조직의 애플리케이션 및 인프라 대부분에 대한 가시성이 부족하다고 답했다. 이러한 가시성 부족은 비즈니스 크리티컬 애플리케이션의 가용성, 성능 및 보안을 보장하는 이상 징후 감지, 손쉬운 근본 원인 분석 및 기타 중요한 프로세스를 수행하는 능력에 영향을 미친다. 솔라윈즈의 수다카 라마크리슈나 사장은 “조직이 팬데믹을 극복하기 위해서는 지난 몇 년간의 투자를 재검토해야 한다”라며, “그 일환으로 IT 환경에 대한 가시성을 확보해 문제를 파악하고 계획된 프로젝트에서 목표로 하는 투자수익률(ROI)를 달성하기 위해 노력의 우선순위를 선정해야 한다”라고 지적했다. 보고서에 따르면, 하이브리드 IT의 지속적인 확장으로 IT 관리 복잡성이 증가하고 있지만 IT 관리자들은 최상의 IT 관리 방법에 대한 확신이 부족하다고 느끼는 것으로 나타났다.  하이브리드 IT의 가속화로 조직의 IT 관리의 복잡성이 증가했다는 응답은 29...

2022.06.15

오픈소스 SW 보안으로의 중요한 걸음, ‘OSSSMP’란?

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

오픈소스 오픈소스 보안 OSS 리눅스 재단 오픈SSF 공급망 공격 솔라윈즈 로그4j 공급망 보안 취약점 버그 현상금 데브섹옵스 애플리케이션 보안

2022.06.02

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

2022.06.02

'솔라윈즈 해킹' 관련 소송 점화… CISO가 배워야 할 6가지 교훈

2020년 솔라윈즈 해킹은 전 세계적으로 큰 영향을 미쳤다. 전방위적인 개선 노력에 공공 및 민간 부문의 자원이 투입됐으며, 솔라윈즈의 주가에도 부정적인 영향을 미쳤다. 그 결과 솔라윈즈를 상대로 민사 소송이 뒤따랐다. 이에 솔라윈즈 CISO 팀 브라운, 사모펀드 회사 실버 레이크(Silver Lake)와 토마 브라보(Thoma Bravo)는 소송 기각을 요청했다. 하지만 미 연방법원이 이를 거부함에 따라 솔라윈즈 해킹과 관련한 소송이 시작될 참이다.   보안 업체 레드포인트 사이버시큐리티(Redpoint Cybersecurity)의 고객 참여 담당 사이버보안 및 개인정보보호 변호사 바이올렛 설리번은 판사가 원고들에게 “청구권이 있을 수 있다고 판단해 심리하려고 하는 것이다. 흥미로운 것은 판결 결과가 아니라 판결 과정에서 발견되는 사항들일 것이다. 이 소송에서는 다음과 같은 질문을 할 수 있다. ‘침해가 발견되는 동안 포렌식 보고서를 마련했는가’, ‘포렌식 보고서에 변호사-의뢰인 비밀 보호 제도가 적용되는가’이다”라고 말했다.  핵심 질문 : 솔라윈즈는 보안 절차를 무시했는가? 소송 기각 요청을 거부한 판사는 모든 CISO가 두려워하는 것, 즉 기본적인 사이버보안 방안을 구현하는 과정에서 직원이 ‘지름길’을 택했는지에 집중했다. 비밀번호 관리에는 대가가 따른다. 솔라윈즈는 보안 연구원이 2019년 11월 ‘업데이트 서버’에서 발견한 악명 높은 암호 ‘solarwinds123’이 통보된 지 한 시간 이내에 해당 비밀번호를 변경했으며, 러시아의 솔라윈즈 침해와 해당 비밀번호는 관련이 없다고 선을 그었다. 그러나 설리번은 “업데이트 서버의 비밀번호 문제는 단지 진입점일 뿐”이라고 말했다. 판사는 ‘근본적인 보안 문제에 대한 혐의(예컨대 solarwinds123 비밀번호 침해)’만으로 솔라윈즈의 보안 문제가 직접적으로 손실을 일으켰다고 볼 필요는 없다고 판단했다. 다만 이런 혐의는 솔라윈즈 경영진이 무엇인가가 심각할 정도로 잘못되었다는 것을...

솔라윈즈 CISO 보안

2022.04.27

2020년 솔라윈즈 해킹은 전 세계적으로 큰 영향을 미쳤다. 전방위적인 개선 노력에 공공 및 민간 부문의 자원이 투입됐으며, 솔라윈즈의 주가에도 부정적인 영향을 미쳤다. 그 결과 솔라윈즈를 상대로 민사 소송이 뒤따랐다. 이에 솔라윈즈 CISO 팀 브라운, 사모펀드 회사 실버 레이크(Silver Lake)와 토마 브라보(Thoma Bravo)는 소송 기각을 요청했다. 하지만 미 연방법원이 이를 거부함에 따라 솔라윈즈 해킹과 관련한 소송이 시작될 참이다.   보안 업체 레드포인트 사이버시큐리티(Redpoint Cybersecurity)의 고객 참여 담당 사이버보안 및 개인정보보호 변호사 바이올렛 설리번은 판사가 원고들에게 “청구권이 있을 수 있다고 판단해 심리하려고 하는 것이다. 흥미로운 것은 판결 결과가 아니라 판결 과정에서 발견되는 사항들일 것이다. 이 소송에서는 다음과 같은 질문을 할 수 있다. ‘침해가 발견되는 동안 포렌식 보고서를 마련했는가’, ‘포렌식 보고서에 변호사-의뢰인 비밀 보호 제도가 적용되는가’이다”라고 말했다.  핵심 질문 : 솔라윈즈는 보안 절차를 무시했는가? 소송 기각 요청을 거부한 판사는 모든 CISO가 두려워하는 것, 즉 기본적인 사이버보안 방안을 구현하는 과정에서 직원이 ‘지름길’을 택했는지에 집중했다. 비밀번호 관리에는 대가가 따른다. 솔라윈즈는 보안 연구원이 2019년 11월 ‘업데이트 서버’에서 발견한 악명 높은 암호 ‘solarwinds123’이 통보된 지 한 시간 이내에 해당 비밀번호를 변경했으며, 러시아의 솔라윈즈 침해와 해당 비밀번호는 관련이 없다고 선을 그었다. 그러나 설리번은 “업데이트 서버의 비밀번호 문제는 단지 진입점일 뿐”이라고 말했다. 판사는 ‘근본적인 보안 문제에 대한 혐의(예컨대 solarwinds123 비밀번호 침해)’만으로 솔라윈즈의 보안 문제가 직접적으로 손실을 일으켰다고 볼 필요는 없다고 판단했다. 다만 이런 혐의는 솔라윈즈 경영진이 무엇인가가 심각할 정도로 잘못되었다는 것을...

2022.04.27

칼럼 | 2022년은 소프트웨어 공급망 보안의 해

2020년이 소비재 공급망의 존재를 체감한 해였다면, 2021년은 소프트웨어 공급망에 대한 인식이 높아진 해였다. 2021년 가장 악명 높았던 소프트웨어 공급망 공격은 솔라윈즈(SolarWinds)로, 여러 미국 정부 기관과 수많은 고객이 악성코드에 감염된 솔라윈즈의 소프트웨어 업데이트 파일을 다운로드했다.     솔라윈즈뿐만이 아니었다. 최근에는 Log4j 취약점으로 소프트웨어 공급망의 약점이 여실히 드러났다. Log4j가 광범위하게 사용되는 오픈소스 자바 로깅 프레임워크인 만큼 취약점은 데이터 스토리지 서비스부터 온라인 비디오 게임에 이르기까지 수많은 애플리케이션을 위험에 빠뜨렸다. 프로덕션 단계에는 약식으로 유지 보수되는 코드가 많기 때문에 소프트웨어 공급망은 Log4j 취약점 같은 익스플로잇이 활동하기 좋은 환경이다. 여러 개발자가 약식으로 유지 보수되는 소프트웨어 라이브러리를 프로덕션에 투입하고, 이후에는 패치하지 않는다. 이런 문제는 현재 오픈소스에서 활발하게 논의하는 주제이기도 하다.  따라서 필자는 2022년을 소프트웨어 공급망 보안의 해로 선언한다. 선언으로 끝이 아니다. 2022년 기업이 소프트웨어 공급망 공격에 대한 방어력을 강화함에 따라 중요성이 높아질 것으로 예상되는 3가지 추세를 소개한다. 1. 디스트로리스의 확대 2022년부터 기업은 배포판 요소를 포함해 컨테이너 이미지를 신중하게 간소화하고 표준화하는 방법을 고민해야 한다. 아예 ‘디스트로리스(distroless)’를 추구해야 한다는 주장까지 있다.  디스트로리스 모델에서 애플리케이션은 여전히 컨테이너 이미지로 패키징되지만, 운영체제는 최소한의 흔적만 남는다. 패키지 관리자와 라이브러리, 셸을 제거해 운영체제의 최대한 많은 부분을 걷어 냄으로써 공격 표면을 줄이는 개념이다.  그러나 중요한 것은 서버리스 컴퓨팅에도 서버가 있듯이 디스트로리스 컴퓨팅에도 배포판은 존재한다는 것이다. 다만 적어질 뿐이다. 어쩌면 이것이 디스트로리스 ...

솔라윈즈 커세어 공급망공격

2022.01.07

2020년이 소비재 공급망의 존재를 체감한 해였다면, 2021년은 소프트웨어 공급망에 대한 인식이 높아진 해였다. 2021년 가장 악명 높았던 소프트웨어 공급망 공격은 솔라윈즈(SolarWinds)로, 여러 미국 정부 기관과 수많은 고객이 악성코드에 감염된 솔라윈즈의 소프트웨어 업데이트 파일을 다운로드했다.     솔라윈즈뿐만이 아니었다. 최근에는 Log4j 취약점으로 소프트웨어 공급망의 약점이 여실히 드러났다. Log4j가 광범위하게 사용되는 오픈소스 자바 로깅 프레임워크인 만큼 취약점은 데이터 스토리지 서비스부터 온라인 비디오 게임에 이르기까지 수많은 애플리케이션을 위험에 빠뜨렸다. 프로덕션 단계에는 약식으로 유지 보수되는 코드가 많기 때문에 소프트웨어 공급망은 Log4j 취약점 같은 익스플로잇이 활동하기 좋은 환경이다. 여러 개발자가 약식으로 유지 보수되는 소프트웨어 라이브러리를 프로덕션에 투입하고, 이후에는 패치하지 않는다. 이런 문제는 현재 오픈소스에서 활발하게 논의하는 주제이기도 하다.  따라서 필자는 2022년을 소프트웨어 공급망 보안의 해로 선언한다. 선언으로 끝이 아니다. 2022년 기업이 소프트웨어 공급망 공격에 대한 방어력을 강화함에 따라 중요성이 높아질 것으로 예상되는 3가지 추세를 소개한다. 1. 디스트로리스의 확대 2022년부터 기업은 배포판 요소를 포함해 컨테이너 이미지를 신중하게 간소화하고 표준화하는 방법을 고민해야 한다. 아예 ‘디스트로리스(distroless)’를 추구해야 한다는 주장까지 있다.  디스트로리스 모델에서 애플리케이션은 여전히 컨테이너 이미지로 패키징되지만, 운영체제는 최소한의 흔적만 남는다. 패키지 관리자와 라이브러리, 셸을 제거해 운영체제의 최대한 많은 부분을 걷어 냄으로써 공격 표면을 줄이는 개념이다.  그러나 중요한 것은 서버리스 컴퓨팅에도 서버가 있듯이 디스트로리스 컴퓨팅에도 배포판은 존재한다는 것이다. 다만 적어질 뿐이다. 어쩌면 이것이 디스트로리스 ...

2022.01.07

솔라윈즈, 한국지사 설립…"ITOM 시장에서의 입지 공고히 할 것"

솔라윈즈가 한국지사를 설립하고, 박경순 지사장을 솔라윈즈코리아의 초대 지사장으로 선임했다고 발표했다. 솔라윈즈는 박경순 지사장의 선임을 시작으로 브랜드 강화와 IT 운영 관리(ITOM) 소프트웨어 시장에서의 입지를 더욱 공고히 할 계획이라고 밝혔다. 특히, 한국 투자를 늘려 지사의 인력을 확대해 나갈 방침이다.   회사에 따르면 IT 업계에서 20년 이상의 경력을 가진 박 지사장은 한국 내의 솔라윈즈 고객과 파트너의 요구사항을 적극적으로 반영하고, 강력하고 심플하면서도 안전한 솔라윈즈 IT 운영 관리 솔루션을 통해 고객과 파트너의 디지털 트랜스포메이션 시장에 주력할 예정이다. 그동안 솔라윈즈는 기술 파트너와 서비스 공급업체, 시스템 통합 업체와 긴밀히 협력해 새로운 수익 창출 기회를 제공해왔다. 솔라윈즈 조 시뇨렐리 한국·일본 영업 총괄 부사장은 “박경순 지사장의 선임으로 한국 파트너에게 더 나은 서비스를 제공하고 확고한 비즈니스 협력 관계를 구축할 수 있는 시장 진출 전략을 전개하게 됐다”라며, “박 지사장이 가진 IT 산업에 대한 열정과 폭넓은 경험은 솔라윈즈의 성장과 전략적 제휴를 통한 한국 파트너와의 사업 확장에 도움을 줄 것”이라고 말했다. 솔라윈즈코리아 박경순 지사장은 “솔라윈즈는 비즈니스에 초점을 맞춘 대규모 성장 전략을 전개해 세계적으로 인정받고 있는 다양한 솔루션으로 더 많은 고객과 파트너사가 도약할 수 있는 지원체계가 마련됐다”라며, “앞으로 한국지사의 성장에 기여할 수 있도록 최선을 다하겠다”라고 말했다. ciokr@idg.co.kr

솔라윈즈

2021.09.16

솔라윈즈가 한국지사를 설립하고, 박경순 지사장을 솔라윈즈코리아의 초대 지사장으로 선임했다고 발표했다. 솔라윈즈는 박경순 지사장의 선임을 시작으로 브랜드 강화와 IT 운영 관리(ITOM) 소프트웨어 시장에서의 입지를 더욱 공고히 할 계획이라고 밝혔다. 특히, 한국 투자를 늘려 지사의 인력을 확대해 나갈 방침이다.   회사에 따르면 IT 업계에서 20년 이상의 경력을 가진 박 지사장은 한국 내의 솔라윈즈 고객과 파트너의 요구사항을 적극적으로 반영하고, 강력하고 심플하면서도 안전한 솔라윈즈 IT 운영 관리 솔루션을 통해 고객과 파트너의 디지털 트랜스포메이션 시장에 주력할 예정이다. 그동안 솔라윈즈는 기술 파트너와 서비스 공급업체, 시스템 통합 업체와 긴밀히 협력해 새로운 수익 창출 기회를 제공해왔다. 솔라윈즈 조 시뇨렐리 한국·일본 영업 총괄 부사장은 “박경순 지사장의 선임으로 한국 파트너에게 더 나은 서비스를 제공하고 확고한 비즈니스 협력 관계를 구축할 수 있는 시장 진출 전략을 전개하게 됐다”라며, “박 지사장이 가진 IT 산업에 대한 열정과 폭넓은 경험은 솔라윈즈의 성장과 전략적 제휴를 통한 한국 파트너와의 사업 확장에 도움을 줄 것”이라고 말했다. 솔라윈즈코리아 박경순 지사장은 “솔라윈즈는 비즈니스에 초점을 맞춘 대규모 성장 전략을 전개해 세계적으로 인정받고 있는 다양한 솔루션으로 더 많은 고객과 파트너사가 도약할 수 있는 지원체계가 마련됐다”라며, “앞으로 한국지사의 성장에 기여할 수 있도록 최선을 다하겠다”라고 말했다. ciokr@idg.co.kr

2021.09.16

실제 사례로 살펴보는 보편적인 '공급망 공격' 유형 6가지

요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사했다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한 위협...

공급망공격 코드코브 솔라윈즈 패스워드스테이트 클릭스튜디오 의존성혼동 마임캐스트 Mimecast 소나타입 Sonatype

2021.06.04

요즘 소프트웨어 공급망 사건이 보안 세계를 떠들석하게 만들고 있다. 이 보안 사건들은 서로 유사하긴 하지만 공급망 공격(Supply Chain Attack) 유형이 모두 동일한 건 아니다.     공급망 공격은 공격자가 소프트웨어 제작 공정(소프트웨어 개발 수명주기)에 간섭하거나 이를 하이재킹해 결과적으로 최종 제품 또는 서비스의 다수의 소비자에게 해로운 영향을 주는 사례를 모두 아우른다.  이는 소프트웨어 구축에 쓰인 코드 라이브러리나 개별 컴포넌트가 손상됐을 때, 소프트웨어 업데이트 코드가 트로이목마에 감염됐을 때, 코드 서명 인증서가 도난 당했을 때, 또는 심지어 서비스 소프트웨어(SaaS)를 호스팅하는 서버가 훼손된 경우도 공급망 공격에 속한다.  소프트웨어 공급망 공격에 의해 공격자는 업스트림 또는 미드스트림 공정에 개입해 다운스트림의 다수의 사용자에게 악의적인 활동을 펼치고 영향을 준다. 따라서, 개별적인 보안 침해와 비교할 때 성공적인 공급망 공격은 훨씬 더 큰 파급 효과를 갖는다.  이번 기사에서는 최근 실제적이고 성공적이었던 소프트웨어 공급망 공격의 6가지 기법을 조사했다.  1. 업스트림 서버 훼손: 코드코브 공급망 공격(Codecov supply chain attack)  대다수의 소프트웨어 공급망 공격에서 공격자는 업스트림 서버 또는 코드 리포지터리에 침투해 악성 페이로드를 주입한다(예를 들어, 악성코드 라인이나 트로이목마에 감염된 업데이트). 그 후 페이로드는 다운스트림의 여러 사용자에게 배포된다. 그러나 기술적 관점에서 볼 때 항상 이런 식은 아니다.  코드코브 공급망 공격은 업스트림 서버 훼손 사례 가운데 하나다. 이 사건은 솔라윈즈(SolarWinds) 침해와 유사하지만 두 공격 사이에는 극명한 차이가 있다. 솔라윈즈 공급망 침해는 정당한 업데이트 코드인 ‘SolarWinds.Orion.Core.BusinessLayer.dll’을 변경했던 정교한 위협...

2021.06.04

강은성의 보안 아키텍트ㅣ공급 사슬 보안, 어떻게 할까?

2020년 12월 파이어아이(FireEye)의 자체 조사로 드러난 솔라윈즈(SolarWinds) 공급 사슬(Supply-chain) 공격의 후폭풍이 여전히 진행 중이다. 이 사건은 공격자가 네트워크 관리 솔루션 기업 솔라윈즈의 원격 IT 모니터링 및 관리 소프트웨어인 오리온(Orion)의 패치를 통해 악성코드를 배포하여 오리온을 사용하는 조직에 침투한 사건이다. 이후 오리온 서버에 설치된 악성코드를 이용해 여러 다른 악성코드가 배포됐음이 드러났다. 미국 상무부, 국토안보부, 재무부, 에너지부 등 연방정부뿐 아니라 민간 기업도 여럿 피해를 당했고, 지난 4월에는 유럽연합 6개 기관이 피해를 봤다는 뉴스도 나왔다.  공급 사슬을 통한 보안 공격이 이슈로 떠오른 것은 당대 세계 최고의 보안기술업체 위치를 점했던 RSA의 OTP 솔루션 SecurID의 기밀정보가 해킹됐던 때다.    2011년 SecurID의 기밀정보 해킹은 SecurID 고객사인 세계적인 군수업체 록히드마틴 등 쟁쟁한 기업에 대한 공격으로 이어졌고, 국내에서도 금융감독원이 각 은행의 SecurID 교체 현황을 발표할 정도로 영향이 있었다. 당시 만만치 않은 비용의 SecurID를 도입할 정도의 조직이면 보안이 중요한 대형 조직이기 때문에 파장이 더욱 컸다.  국내에서 공급 사슬이 주목받은 것은 2018년 10월 대법원에서 일제의 불법 강제 징용에 대한 배상 판결을 내린 뒤 일본이 이에 대한 ‘보복 조치’로 2019년 7월에 우리나라 핵심 반도체 소재 공급을 중단하면서부터다. 이때 우리는 세계 경제가 국경을 넘어 촘촘한 공급 사슬로 연결돼 있음을 알게 됐고 공급 사슬에 여전히 국경이 존재한다는 점 역시 깨닫게 됐다.  공급 사슬은 한 기업이 제품과 서비스를 제공하기 위해 기업 외부에서 제공받는 SW 및 장비, 부품, SW 모듈, 서비스를 포함한다. 한 마디로 매우 넓다. 협력업체 네트워크를 통해 대규모 고객정보 유출 사고가 발생한 미국의 소매점...

강은성의 보안 아키텍트 공급 사슬 공급 사슬 보안 보안 파이어아이 솔라윈즈 솔라윈즈 해킹

2021.05.17

2020년 12월 파이어아이(FireEye)의 자체 조사로 드러난 솔라윈즈(SolarWinds) 공급 사슬(Supply-chain) 공격의 후폭풍이 여전히 진행 중이다. 이 사건은 공격자가 네트워크 관리 솔루션 기업 솔라윈즈의 원격 IT 모니터링 및 관리 소프트웨어인 오리온(Orion)의 패치를 통해 악성코드를 배포하여 오리온을 사용하는 조직에 침투한 사건이다. 이후 오리온 서버에 설치된 악성코드를 이용해 여러 다른 악성코드가 배포됐음이 드러났다. 미국 상무부, 국토안보부, 재무부, 에너지부 등 연방정부뿐 아니라 민간 기업도 여럿 피해를 당했고, 지난 4월에는 유럽연합 6개 기관이 피해를 봤다는 뉴스도 나왔다.  공급 사슬을 통한 보안 공격이 이슈로 떠오른 것은 당대 세계 최고의 보안기술업체 위치를 점했던 RSA의 OTP 솔루션 SecurID의 기밀정보가 해킹됐던 때다.    2011년 SecurID의 기밀정보 해킹은 SecurID 고객사인 세계적인 군수업체 록히드마틴 등 쟁쟁한 기업에 대한 공격으로 이어졌고, 국내에서도 금융감독원이 각 은행의 SecurID 교체 현황을 발표할 정도로 영향이 있었다. 당시 만만치 않은 비용의 SecurID를 도입할 정도의 조직이면 보안이 중요한 대형 조직이기 때문에 파장이 더욱 컸다.  국내에서 공급 사슬이 주목받은 것은 2018년 10월 대법원에서 일제의 불법 강제 징용에 대한 배상 판결을 내린 뒤 일본이 이에 대한 ‘보복 조치’로 2019년 7월에 우리나라 핵심 반도체 소재 공급을 중단하면서부터다. 이때 우리는 세계 경제가 국경을 넘어 촘촘한 공급 사슬로 연결돼 있음을 알게 됐고 공급 사슬에 여전히 국경이 존재한다는 점 역시 깨닫게 됐다.  공급 사슬은 한 기업이 제품과 서비스를 제공하기 위해 기업 외부에서 제공받는 SW 및 장비, 부품, SW 모듈, 서비스를 포함한다. 한 마디로 매우 넓다. 협력업체 네트워크를 통해 대규모 고객정보 유출 사고가 발생한 미국의 소매점...

2021.05.17

바이든의 사이버 보안 행정 명령 초안··· 전문가들 평가는 “실효성 글쎄”

러시아 해커들이 솔라윈즈(SolarWinds) 공급망 해킹을 통해 미국의 민간 및 정부 부문 전반에 걸쳐 맬웨어를 심었다는 파이어아이(FireEye)의 발표가 미국의 정부 및 IT 분야를 강타했다. 그러나 아직 출발 단계인 바이든 행정부는 이 침투에 대해, 그리고 1월 중국발로 추정되는 마이크로소프트 익스체인지(Microsoft Exchange) 서버 소프트웨어에 대한  공격에 대해 어떻게 대응할지 함구해 왔다.  행정부가 적어도 수 주 동안 이들 사이버 보안 사안을 해결하기 위한 공식적인 행정 명령(EO ; executive order)을 발하지는 않을 것으로 보도됐다. 그러나 새로운 국토안보부(DHS) 장관 알레한드로 마요카스는 행정부가 해당 명령에 대한 약 12가지 조치를 수립하고 있음을 내비쳤다.  그런데 해당 명령에 대한 일부 세부사항이 유출된 이후 많은 주요 사이버 보안 전문가들 사이에서 비판이 이어지고 있다. EO로 인해 유출 보고, 소프트웨어 표준, 기초 사례가 필요하다 일부 언론인들이 입수한 행정 명령 초안에 따르면 정부 부서와 계약한 기업은 자체 네트워크 및 소프트웨어에 대한 공격 발견 후 며칠 안에 이를 연방정부 당국에게 보고해야 한다. 이는 EU의 GDPR에 따라 데이터 유출 발견 시 72시간 이내에 규제 당국에 보고해야 하는 것과 매우 유사하다.  보도에 따르면 관련된 정부 당국은 보고된 데이터를 DHS의 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)으로 전달하게 된다.  이번 명령에는 또 연방 당국자들이 데이터 암호화와 이중 인증을 포함하여 특정 소프트웨어 표준 충족 및 기본 보안 지침을 요구해야 한다는 내용이 담겨 있다. 아울러 해당 명령에 따라 표면상으로 소프트웨어 제공업체는 빌드(Build) 시스템을 보호해야 한다. 소프트웨어의 인터넷 연결을 차단하고 해당 시스템을 개발한 개발자의 신원을 추적하는...

바이든 솔라윈즈 익스체인지 EO 행정 명령 DHS CISA

2021.04.12

러시아 해커들이 솔라윈즈(SolarWinds) 공급망 해킹을 통해 미국의 민간 및 정부 부문 전반에 걸쳐 맬웨어를 심었다는 파이어아이(FireEye)의 발표가 미국의 정부 및 IT 분야를 강타했다. 그러나 아직 출발 단계인 바이든 행정부는 이 침투에 대해, 그리고 1월 중국발로 추정되는 마이크로소프트 익스체인지(Microsoft Exchange) 서버 소프트웨어에 대한  공격에 대해 어떻게 대응할지 함구해 왔다.  행정부가 적어도 수 주 동안 이들 사이버 보안 사안을 해결하기 위한 공식적인 행정 명령(EO ; executive order)을 발하지는 않을 것으로 보도됐다. 그러나 새로운 국토안보부(DHS) 장관 알레한드로 마요카스는 행정부가 해당 명령에 대한 약 12가지 조치를 수립하고 있음을 내비쳤다.  그런데 해당 명령에 대한 일부 세부사항이 유출된 이후 많은 주요 사이버 보안 전문가들 사이에서 비판이 이어지고 있다. EO로 인해 유출 보고, 소프트웨어 표준, 기초 사례가 필요하다 일부 언론인들이 입수한 행정 명령 초안에 따르면 정부 부서와 계약한 기업은 자체 네트워크 및 소프트웨어에 대한 공격 발견 후 며칠 안에 이를 연방정부 당국에게 보고해야 한다. 이는 EU의 GDPR에 따라 데이터 유출 발견 시 72시간 이내에 규제 당국에 보고해야 하는 것과 매우 유사하다.  보도에 따르면 관련된 정부 당국은 보고된 데이터를 DHS의 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)으로 전달하게 된다.  이번 명령에는 또 연방 당국자들이 데이터 암호화와 이중 인증을 포함하여 특정 소프트웨어 표준 충족 및 기본 보안 지침을 요구해야 한다는 내용이 담겨 있다. 아울러 해당 명령에 따라 표면상으로 소프트웨어 제공업체는 빌드(Build) 시스템을 보호해야 한다. 소프트웨어의 인터넷 연결을 차단하고 해당 시스템을 개발한 개발자의 신원을 추적하는...

2021.04.12

'위장 폐업부터 솔라윈즈까지' 2021년 다크웹 현황

전문 범죄 집단과 맬웨어 서비스, 범죄 활동 수행을 위한 개선된 인프라가 다크웹을 바꿔놓고 있다. 기업 보안에 미치는 영향을 살펴본다. 최근 다크웹에서 활동하는 악당들에게 걱정거리가 하나 더 생겼다. 바로 사법기관에 체포되는 것이다. 다크웹의 불법 활동을 추적하는 것은 당국으로서는 필사적인 추격전이지만, 결국에는 적을 잡아 더러운 돈을 압수하는 일이 드물지 않다. 예를 들어, 2020년 미국 대통령 선거일 밤, 미 정부는 7년 간의 추적 끝에 10억 달러짜리 비트코인 지갑을 비워 실크 로드(Silk Road)와 연결된 자금을 회수해냈다. 실크 로드는 마약이나 청부 살인, 해커 고용 등의 불법적인 상품과 서비스를 판매하는 암시장이었다.     범죄 집단의 위장 폐업  이런 사건이 자주 일어나면서 범죄자도 새로운 전략을 짜기 시작했는데, 그 중 하나가 당국의 감시망에 걸리기 전에 매장을 닫고 돈을 빼내는 것이다. 2020년 10월 랜섬웨어 집단인 메이즈(Maze)는 기업 수백 곳을 약탈한 후에 은퇴 선언을 하고는 6주 넘게 스스로 문을 닫았다. 하지만 전문가들은 표면적인 것에 불과할 것이라고 봤다. 랜섬웨어 집단은 다른 작전에 참여하기 위해 하나의 작전을 중단하는 경우가 많은데, 사업에서 완전히 물러나는 경우는 드물기 때문이다. 다크웹 검색엔진 다크아울(DarkOwl)의 CEO 마크 터니지는 “최근 몇 년 동안 다크웹은 극적으로 변했는데, 조직 범죄 집단의 익명 포럼과 시장 이용이 증가하면서 상당히 유기적으로 바뀌었다. 유튜브를 보고 범죄자가 되고자 하는 젊은이도 늘었고, 자연히 사법기관의 활동과 이런 범죄집단이나 서비스에 침투해 범인을 밝히고 처벌하려는 시도도 증가했다”고 설명했다.   구인 채널이 된 다크웹 다크웹은 사이버 범죄집단이 새로운 조직원을 끌어들이기 위해 최소한으로 접촉하는 중간 지대로 진화했다. 그리고는 실제 커뮤니케이션은 텔레그램이나 재버(Jabber), 위크알(WickR) 같은 은밀하고 암호화된 채널을...

다크웹 먹튀 실크로드 솔라윈즈

2021.01.26

전문 범죄 집단과 맬웨어 서비스, 범죄 활동 수행을 위한 개선된 인프라가 다크웹을 바꿔놓고 있다. 기업 보안에 미치는 영향을 살펴본다. 최근 다크웹에서 활동하는 악당들에게 걱정거리가 하나 더 생겼다. 바로 사법기관에 체포되는 것이다. 다크웹의 불법 활동을 추적하는 것은 당국으로서는 필사적인 추격전이지만, 결국에는 적을 잡아 더러운 돈을 압수하는 일이 드물지 않다. 예를 들어, 2020년 미국 대통령 선거일 밤, 미 정부는 7년 간의 추적 끝에 10억 달러짜리 비트코인 지갑을 비워 실크 로드(Silk Road)와 연결된 자금을 회수해냈다. 실크 로드는 마약이나 청부 살인, 해커 고용 등의 불법적인 상품과 서비스를 판매하는 암시장이었다.     범죄 집단의 위장 폐업  이런 사건이 자주 일어나면서 범죄자도 새로운 전략을 짜기 시작했는데, 그 중 하나가 당국의 감시망에 걸리기 전에 매장을 닫고 돈을 빼내는 것이다. 2020년 10월 랜섬웨어 집단인 메이즈(Maze)는 기업 수백 곳을 약탈한 후에 은퇴 선언을 하고는 6주 넘게 스스로 문을 닫았다. 하지만 전문가들은 표면적인 것에 불과할 것이라고 봤다. 랜섬웨어 집단은 다른 작전에 참여하기 위해 하나의 작전을 중단하는 경우가 많은데, 사업에서 완전히 물러나는 경우는 드물기 때문이다. 다크웹 검색엔진 다크아울(DarkOwl)의 CEO 마크 터니지는 “최근 몇 년 동안 다크웹은 극적으로 변했는데, 조직 범죄 집단의 익명 포럼과 시장 이용이 증가하면서 상당히 유기적으로 바뀌었다. 유튜브를 보고 범죄자가 되고자 하는 젊은이도 늘었고, 자연히 사법기관의 활동과 이런 범죄집단이나 서비스에 침투해 범인을 밝히고 처벌하려는 시도도 증가했다”고 설명했다.   구인 채널이 된 다크웹 다크웹은 사이버 범죄집단이 새로운 조직원을 끌어들이기 위해 최소한으로 접촉하는 중간 지대로 진화했다. 그리고는 실제 커뮤니케이션은 텔레그램이나 재버(Jabber), 위크알(WickR) 같은 은밀하고 암호화된 채널을...

2021.01.26

MS 애저·365 담당자라면 '주목'··· 솔라윈즈 위험성 평가 방안 따라잡기

솔라윈즈 (솔로리게이트 ; Solorigate) 사건과 관련해 희망적인 측면 하나는 마이크로소프트를 비롯한 여러 업체에서 발표한 엄청난 양의 새로운 블로그와 콘텐츠이다. 소속 조직이 이번 공격에 직접적인 영향을 받지 않았다 하더라도, 이런 종류의 공격으로부터 네트워크를 보호하기 위해 본인과 소속 팀이 무엇을 하고 있는지에 대한 질문에는 대답을 준비해야 할 것이다. 이 경우 요긴한 자료들을 정리했다.   마이크로소프트 솔로리게이트 자료 센터 마이크로소프트 솔로리게이트 자료 센터는 지금도 풍성해지고 있는 정보의 원천이다. 시간을 내서 아래 링크를 살펴보자. 마이크로소프트 365 또는 애저 액티브 디렉터리(AD) 고객은 솔라윈즈 위험성 평가를 위해 애저 AD 워크북을 검토해볼 만하다 워크북에 접근하려면 먼저 애저 워크스페이스를 설정한 후 애저 모니터 로그로 애저 AD 로그를 설정해야 한다. 그 방법은 다음과 같다. 애저 포털에 사인인한 후 ‘애저 액티브 디렉터리’, ‘진단 설정’, ‘진단 설정 추가’를 차례로 선택한다. 감사 로그 또는 사인인 페이지에서 ‘내보내기 설정’을 선택하여 진단 설정 구성 페이지로 이동할 수도 있다. ‘진단 설정’ 메뉴에서 ‘로그 분석 워크스페이스로 보내기’란을 선택한 후 ‘구성’을 선택한다. 그 다음에는 로그를 보내고자 하는 로그 분석 워크스페이스를 선택하거나 제공된 대화 상자에서 새로운 워크스페이스를 생성한다. 로그 분석 워크스페이스로 감사 로그를 보내려면 ‘감사 로그’란을, 사인인 로그를 보내려면 ‘사인인 로그’란을 선택한다. 사인인 데이터를 내보내려면 애저 AD P1 또는 P2 라이센스가 필요하다. 이제 해당 정보를 로그 분석 워크스페이스로 보내기로 선택한다. ‘저장’을 선택하여 설정을 저장한다. 사용자의 P1 라이선스가 사인인 로그에서 인지될 때까지 시간이 약간 걸릴 수 있다. 그 다음에는 애저 포털에 사인인하여 ‘애저 액티브 라이브러리’, ‘모니터링’, ‘워크북’ 순서로 이동한다. 민감한 운영 보고서를 찾아본...

솔라윈즈 애저 마이크로소프트 365 솔로리게이트 크라우드스트라이크 리포팅 툴

2021.01.15

솔라윈즈 (솔로리게이트 ; Solorigate) 사건과 관련해 희망적인 측면 하나는 마이크로소프트를 비롯한 여러 업체에서 발표한 엄청난 양의 새로운 블로그와 콘텐츠이다. 소속 조직이 이번 공격에 직접적인 영향을 받지 않았다 하더라도, 이런 종류의 공격으로부터 네트워크를 보호하기 위해 본인과 소속 팀이 무엇을 하고 있는지에 대한 질문에는 대답을 준비해야 할 것이다. 이 경우 요긴한 자료들을 정리했다.   마이크로소프트 솔로리게이트 자료 센터 마이크로소프트 솔로리게이트 자료 센터는 지금도 풍성해지고 있는 정보의 원천이다. 시간을 내서 아래 링크를 살펴보자. 마이크로소프트 365 또는 애저 액티브 디렉터리(AD) 고객은 솔라윈즈 위험성 평가를 위해 애저 AD 워크북을 검토해볼 만하다 워크북에 접근하려면 먼저 애저 워크스페이스를 설정한 후 애저 모니터 로그로 애저 AD 로그를 설정해야 한다. 그 방법은 다음과 같다. 애저 포털에 사인인한 후 ‘애저 액티브 디렉터리’, ‘진단 설정’, ‘진단 설정 추가’를 차례로 선택한다. 감사 로그 또는 사인인 페이지에서 ‘내보내기 설정’을 선택하여 진단 설정 구성 페이지로 이동할 수도 있다. ‘진단 설정’ 메뉴에서 ‘로그 분석 워크스페이스로 보내기’란을 선택한 후 ‘구성’을 선택한다. 그 다음에는 로그를 보내고자 하는 로그 분석 워크스페이스를 선택하거나 제공된 대화 상자에서 새로운 워크스페이스를 생성한다. 로그 분석 워크스페이스로 감사 로그를 보내려면 ‘감사 로그’란을, 사인인 로그를 보내려면 ‘사인인 로그’란을 선택한다. 사인인 데이터를 내보내려면 애저 AD P1 또는 P2 라이센스가 필요하다. 이제 해당 정보를 로그 분석 워크스페이스로 보내기로 선택한다. ‘저장’을 선택하여 설정을 저장한다. 사용자의 P1 라이선스가 사인인 로그에서 인지될 때까지 시간이 약간 걸릴 수 있다. 그 다음에는 애저 포털에 사인인하여 ‘애저 액티브 라이브러리’, ‘모니터링’, ‘워크북’ 순서로 이동한다. 민감한 운영 보고서를 찾아본...

2021.01.15

칼럼 | 솔라윈즈 해킹, 사이버보안 경종을 울리다

솔라윈즈 사건과 관련해 아직 많은 의문이 풀린 것은 아니지만, 조사와 대응이 계속됨에 따라 한 가지는 분명해졌다. 공급망 위험을 관리하려면 공격자와 비슷한 수준의 정교함이 필요하다는 것이다.    APT(Advanced Persistent Threat)는 오랫동안 사이버보안 커뮤니티의 주요 관심사였다. 임무를 완수할 때까지 공격을 포기하지 않는, 상당한 자원과 목표를 가진 잘 조직된 공격팀은 확실히 과소평가될 위협이 아니다. APT 그룹의 전술은 제로데이 취약점을 이용하는 것부터 소셜 엔지니어링, 접속권한 확보, 거점 확립, 접속권한 심화에 이르는 다양한 공격 유형의 조합을 포함하고 있으며, 목표를 실현할 때까지 탐지되지 않은 채 표적 시스템에 남아 있는 것이다.  최근 발견된 솔라윈즈 해킹은 전형적인 APT 공격이다. 최소한 지난해 3월부터 여러 미국 연방부서와 민간 기업 및 주요 인프라 조직을 표적으로 삼고 탐지되지 않았다. 지금까지 확인된 초기 감염 벡터는 공격자가 네트워크 트래픽 관리 시스템에 접근할 수 있도록 허용한 IT 스택 모니터링 서비스 제공 플랫폼인 솔라윈즈 오리온 업데이트의 제로데이 취약점과 관련이 있다. 공격을 탐지한 파이어아이는 솔라윈즈 오리온 업데이트를 트로이목마로 만든 악성코드인 선버스트(SUNBURST)를 발견했다.   APT에서 흔히 볼 수 있듯이 APT가 심화되고 확대됨에 따라 악용된 취약점 목록은 공급망과 표적 개체의 내부 시스템 모두에서 늘어날 것이다. CISA(Cybersecurity and Infrastructure Security Agency)의 경보에 따르면, 솔라윈즈 관련 경보 외에도 다른 초기 감염 벡터가 조사되고 있다. 초기 감염 벡터는 공급망 자체의 개체 또는 표적 개체 자체의 취약점과 관련될 수 있지만, 공격 행위자가 접근권한을 심화할 때에는 내부 시스템 취약점을 악용해 공격 표면을 증가시킬 것이다. 사이버보안 전문기자 브라이언 크렙스는 솔라윈즈 취약점 악용을 통해 내부...

솔라윈즈 선버스트

2021.01.11

솔라윈즈 사건과 관련해 아직 많은 의문이 풀린 것은 아니지만, 조사와 대응이 계속됨에 따라 한 가지는 분명해졌다. 공급망 위험을 관리하려면 공격자와 비슷한 수준의 정교함이 필요하다는 것이다.    APT(Advanced Persistent Threat)는 오랫동안 사이버보안 커뮤니티의 주요 관심사였다. 임무를 완수할 때까지 공격을 포기하지 않는, 상당한 자원과 목표를 가진 잘 조직된 공격팀은 확실히 과소평가될 위협이 아니다. APT 그룹의 전술은 제로데이 취약점을 이용하는 것부터 소셜 엔지니어링, 접속권한 확보, 거점 확립, 접속권한 심화에 이르는 다양한 공격 유형의 조합을 포함하고 있으며, 목표를 실현할 때까지 탐지되지 않은 채 표적 시스템에 남아 있는 것이다.  최근 발견된 솔라윈즈 해킹은 전형적인 APT 공격이다. 최소한 지난해 3월부터 여러 미국 연방부서와 민간 기업 및 주요 인프라 조직을 표적으로 삼고 탐지되지 않았다. 지금까지 확인된 초기 감염 벡터는 공격자가 네트워크 트래픽 관리 시스템에 접근할 수 있도록 허용한 IT 스택 모니터링 서비스 제공 플랫폼인 솔라윈즈 오리온 업데이트의 제로데이 취약점과 관련이 있다. 공격을 탐지한 파이어아이는 솔라윈즈 오리온 업데이트를 트로이목마로 만든 악성코드인 선버스트(SUNBURST)를 발견했다.   APT에서 흔히 볼 수 있듯이 APT가 심화되고 확대됨에 따라 악용된 취약점 목록은 공급망과 표적 개체의 내부 시스템 모두에서 늘어날 것이다. CISA(Cybersecurity and Infrastructure Security Agency)의 경보에 따르면, 솔라윈즈 관련 경보 외에도 다른 초기 감염 벡터가 조사되고 있다. 초기 감염 벡터는 공급망 자체의 개체 또는 표적 개체 자체의 취약점과 관련될 수 있지만, 공격 행위자가 접근권한을 심화할 때에는 내부 시스템 취약점을 악용해 공격 표면을 증가시킬 것이다. 사이버보안 전문기자 브라이언 크렙스는 솔라윈즈 취약점 악용을 통해 내부...

2021.01.11

美 보안 기관 4곳, '솔라윈즈 해킹 사건' 배후로 러시아 공개 지목

지난해 미 재무부, 상무부 등의 정부 기관을 비롯해 1만 8,000여 곳의 기업들을 대상으로 이뤄진 대규모 해킹 사건의 배후에 러시아 정부가 있는 것으로 보인다고 미 주요 보안 기관들이 5일(현지시간) 공동 발표했다.  미 연방수사국(FBI), 국가안보국 등 정부 보안 기관 4곳은 공동 성명을 통해 이 해킹의 성격을 지능형 지속 공격(APT)이라고 설명하며, 러시아가 해킹의 배후에 있는 것으로 보인다(Likely)고 전했다. 이들은 해킹의 목적이 미 정부의 활동에 훼방을 놓는 게 아니라 정보 수집에 있는 것으로 보인다는 설명도 덧붙였다.   이어 기관들은 최초 해킹 피해를 입은 것으로 추정된 1만 8,000여 곳의 정부 기관 및 기업들 중에서 실제로 시스템에 손상을 입은 곳은 극히 일부라고 설명했다.  지난해 12월 주요 외신들을 통해 최초 보고된 이 해킹은 네트워크 모니터링 솔루션 기업인 솔라윈즈(SolarWinds)의 ‘오리온 플랫폼’을 통해 이뤄진 것으로 알려져 있다. 솔로리게이트(Solorigate)라는 맬웨어가 오리온 플랫폼의 업데이트 파일에 심겼고, 이를 솔라윈즈의 고객사가 다운로드 받으면서 해킹이 발생했다는 게 보안 업계의 공통적인 견해다. ->'솔라윈즈 해킹', 현재까지 알려진 사항과 새 악의적 행위자 살펴보기 ->솔라윈즈 악용 해킹 당했던 MS, "개발 코드 열람만 있었다" ->포티넷, ‘솔라윈즈 해킹 사건’ 대응 방안 발표 미 정부는 당시 이 해킹의 주체를 구체적으로 특정하지 않았지만, 업계에서는 러시아 정부의 지원을 받는 해킹조직 APT-29가 배후에 있을 것이라고 추정해왔다.   기관들은 성명에서 “현재까지 10곳 미만의 정부 기관이 해킹을 당한 것으로 파악됐으며, 잠재적으로 피해 영향권에 있는 비정부 기관들에게도 해킹에 주의하라고 당부하고 있다”라고 설명했다.  그러나 이번 공동 성명이 다소 늦게 발표된 데 대한 비판도 제기된다. 미 상원정보위원회의 마크 워너 상...

솔라윈즈 해킹 솔로리게이트 APT-29 러시아

2021.01.07

지난해 미 재무부, 상무부 등의 정부 기관을 비롯해 1만 8,000여 곳의 기업들을 대상으로 이뤄진 대규모 해킹 사건의 배후에 러시아 정부가 있는 것으로 보인다고 미 주요 보안 기관들이 5일(현지시간) 공동 발표했다.  미 연방수사국(FBI), 국가안보국 등 정부 보안 기관 4곳은 공동 성명을 통해 이 해킹의 성격을 지능형 지속 공격(APT)이라고 설명하며, 러시아가 해킹의 배후에 있는 것으로 보인다(Likely)고 전했다. 이들은 해킹의 목적이 미 정부의 활동에 훼방을 놓는 게 아니라 정보 수집에 있는 것으로 보인다는 설명도 덧붙였다.   이어 기관들은 최초 해킹 피해를 입은 것으로 추정된 1만 8,000여 곳의 정부 기관 및 기업들 중에서 실제로 시스템에 손상을 입은 곳은 극히 일부라고 설명했다.  지난해 12월 주요 외신들을 통해 최초 보고된 이 해킹은 네트워크 모니터링 솔루션 기업인 솔라윈즈(SolarWinds)의 ‘오리온 플랫폼’을 통해 이뤄진 것으로 알려져 있다. 솔로리게이트(Solorigate)라는 맬웨어가 오리온 플랫폼의 업데이트 파일에 심겼고, 이를 솔라윈즈의 고객사가 다운로드 받으면서 해킹이 발생했다는 게 보안 업계의 공통적인 견해다. ->'솔라윈즈 해킹', 현재까지 알려진 사항과 새 악의적 행위자 살펴보기 ->솔라윈즈 악용 해킹 당했던 MS, "개발 코드 열람만 있었다" ->포티넷, ‘솔라윈즈 해킹 사건’ 대응 방안 발표 미 정부는 당시 이 해킹의 주체를 구체적으로 특정하지 않았지만, 업계에서는 러시아 정부의 지원을 받는 해킹조직 APT-29가 배후에 있을 것이라고 추정해왔다.   기관들은 성명에서 “현재까지 10곳 미만의 정부 기관이 해킹을 당한 것으로 파악됐으며, 잠재적으로 피해 영향권에 있는 비정부 기관들에게도 해킹에 주의하라고 당부하고 있다”라고 설명했다.  그러나 이번 공동 성명이 다소 늦게 발표된 데 대한 비판도 제기된다. 미 상원정보위원회의 마크 워너 상...

2021.01.07

솔라윈즈 악용 해킹 당했던 MS, "개발 코드 열람만 있었다"

마이크로소프트(MS)는 지난해 자사 내부 계정을 해킹한 공격자가 MS의 내부 소스 코드를 건드리지는 않았다고 블로그를 통해 밝혔다. 이 공격자는 IT 모니터링 솔루션 업체 ‘솔라윈즈’의 플랫폼을 활용해 지난해 미 정부 기관과 MS 등 주요 기업들을 해킹한 바 있다.    MS는 블로그를 통해 “내부 계정을 이용한 비정상적인 활동이 감지됐으며, 검토 결과 계정 중 하나가 여러 소스 코드 저장소의 오픈소스 코드를 보는 데 사용됐다”라며 “해당 계정은 코드를 수정하거나 엔지니어링 시스템을 변경할 권한이 없어 코드 변경은 이뤄지지 않았다”라고 밝혔다.  MS는 개발용 오픈소스 코드를 내부 구성원끼리 공유한다. 이 오픈소스 코드는 내부 계정을 통해 접근할 수 있으며, 누군가가 이를 열람한다고 해서 MS의 제품에 보안 위협을 끼칠 수 있는 것은 아니라고 MS 측은 밝혔다.  이어 MS는 “자체 조사 결과 서비스나 고객 데이터에 (해커가) 접근한 흔적은 찾지 못했으며 MS의 시스템이 다른 기업을 공격하는 데 사용되었다는 흔적 또한 발견되지 않았다”라며 "악성 애플리케이션은 분리 및 제거했다"라고 설명했다.  지난해 12월 주요 외신을 통해 보도된 이 해킹은 미 재무부와 상무부 등의 정부 기관은 물론 미 10대 통신사, 전 세계 각국 기업 등 총 1만 8,000여 곳을 대상으로 이뤄진 것으로 추정되고 있다.  해커는 솔라윈즈(SolarWinds)의 모니터링 솔루션인 ‘오리온 플랫폼’의 업데이트 파일에 솔로리게이트(Solorigate)라는 맬웨어를 심어 솔라윈즈의 고객사에 배포하는 방식으로 공격을 감행한 것으로 알려져 있다. 미 정부 당국은 아직 이 해킹의 주체를 구체적으로 특정하지는 않았지만, 업계에서는 러시아 정부의 지원을 받는 해킹조직 APT 29가 해킹의 배후에 있을 것이라고 보고 있다. ciokr@idg.co.kr

마이크로소프트 솔라윈즈 오리온 소스코드 APT29

2021.01.04

마이크로소프트(MS)는 지난해 자사 내부 계정을 해킹한 공격자가 MS의 내부 소스 코드를 건드리지는 않았다고 블로그를 통해 밝혔다. 이 공격자는 IT 모니터링 솔루션 업체 ‘솔라윈즈’의 플랫폼을 활용해 지난해 미 정부 기관과 MS 등 주요 기업들을 해킹한 바 있다.    MS는 블로그를 통해 “내부 계정을 이용한 비정상적인 활동이 감지됐으며, 검토 결과 계정 중 하나가 여러 소스 코드 저장소의 오픈소스 코드를 보는 데 사용됐다”라며 “해당 계정은 코드를 수정하거나 엔지니어링 시스템을 변경할 권한이 없어 코드 변경은 이뤄지지 않았다”라고 밝혔다.  MS는 개발용 오픈소스 코드를 내부 구성원끼리 공유한다. 이 오픈소스 코드는 내부 계정을 통해 접근할 수 있으며, 누군가가 이를 열람한다고 해서 MS의 제품에 보안 위협을 끼칠 수 있는 것은 아니라고 MS 측은 밝혔다.  이어 MS는 “자체 조사 결과 서비스나 고객 데이터에 (해커가) 접근한 흔적은 찾지 못했으며 MS의 시스템이 다른 기업을 공격하는 데 사용되었다는 흔적 또한 발견되지 않았다”라며 "악성 애플리케이션은 분리 및 제거했다"라고 설명했다.  지난해 12월 주요 외신을 통해 보도된 이 해킹은 미 재무부와 상무부 등의 정부 기관은 물론 미 10대 통신사, 전 세계 각국 기업 등 총 1만 8,000여 곳을 대상으로 이뤄진 것으로 추정되고 있다.  해커는 솔라윈즈(SolarWinds)의 모니터링 솔루션인 ‘오리온 플랫폼’의 업데이트 파일에 솔로리게이트(Solorigate)라는 맬웨어를 심어 솔라윈즈의 고객사에 배포하는 방식으로 공격을 감행한 것으로 알려져 있다. 미 정부 당국은 아직 이 해킹의 주체를 구체적으로 특정하지는 않았지만, 업계에서는 러시아 정부의 지원을 받는 해킹조직 APT 29가 해킹의 배후에 있을 것이라고 보고 있다. ciokr@idg.co.kr

2021.01.04

'솔라윈즈 해킹', 현재까지 알려진 사항과 새 악의적 행위자 살펴보기

솔라윈즈 오리온(SolarWinds Orion) 해킹 사건이 드러난 이후 언론에 보도된 바에 따르면, 솔라윈즈는 수년 전에 보안 불안에 대한 경고를 받았으며 또 다른 해킹 흔적이 발견됐다.   솔라윈즈 오리온 보안 침해 사건은 빠른 속도로 확산되고 있으며, 공급업체와 피해자의 수는 계속 증가하고 있다. 그 피해 범위와 깊이는 나날이 갱신되고 있으며, 특히 우려되는 것은 감염률과 미 정부 시스템에 대한 피해 상황이다.  요약하면, 솔라윈즈 오리온 IT 모니터링 및 관리 소프트웨어에서 백도어가 발견됐다. 오리온 소프트웨어 프레임워크의 솔라윈즈 디지털 서명 구성요소인 SolarWinds.Orion.Core.BusinessLayer.dll라는 동적 링크 라이브러리는 HTTP를 통해 타사 서버와 통신하는 백도어를 포함한 것으로 알려졌다.   최대 2주의 초기 휴먼 기간이 지나면 트로이목마는 파일 전송, 파일 실행, 시스템 프로파일링, 재부팅 및 시스템 서비스 실행 중지 기능을 포함하는 작업이라는 명령을 검색하고 실행한다. 간단히 말하면 머신 전체를 완전히 손에 넣는 것이다.  이 악성코드는 OIP(Orion Improvement Program) 프로토콜에서 네트워크 트래픽을 숨기고 합법적인 플러그인 구성 파일에 부정한 데이터를 저장해 합법적인 솔라윈즈 활동과 혼합될 수 있다.  솔라윈즈는 30만의 고객 가운데 1만 8,000 곳 미만이 트로이목마를 다운로드했다고 밝혔지만, 이 숫자조차 너무 많다. 피해자는 전 세계 컨설팅, 기술, 통신, 석유 및 가스 업체와 특히 국방부, 재무부, 상무부와 같은 미국 정부기관 등이 포함된 것으로 알려졌다.  가장 최근의 피해자는 내부 시스템에서 오리온 트로이목마를 발견한 시스코시스템즈다. 시스코시스템즈는 성명에서 “솔라윈즈 공격 발표 후, 시스코 시큐리티는 바로 즉시 기존 사고 대응 프로세스를 시작했다”라고 밝혔다.  시스코시스템즈 측은 “우리는 소수의 연구소 ...

솔라윈즈 SolarWinds 해킹 보안

2020.12.30

솔라윈즈 오리온(SolarWinds Orion) 해킹 사건이 드러난 이후 언론에 보도된 바에 따르면, 솔라윈즈는 수년 전에 보안 불안에 대한 경고를 받았으며 또 다른 해킹 흔적이 발견됐다.   솔라윈즈 오리온 보안 침해 사건은 빠른 속도로 확산되고 있으며, 공급업체와 피해자의 수는 계속 증가하고 있다. 그 피해 범위와 깊이는 나날이 갱신되고 있으며, 특히 우려되는 것은 감염률과 미 정부 시스템에 대한 피해 상황이다.  요약하면, 솔라윈즈 오리온 IT 모니터링 및 관리 소프트웨어에서 백도어가 발견됐다. 오리온 소프트웨어 프레임워크의 솔라윈즈 디지털 서명 구성요소인 SolarWinds.Orion.Core.BusinessLayer.dll라는 동적 링크 라이브러리는 HTTP를 통해 타사 서버와 통신하는 백도어를 포함한 것으로 알려졌다.   최대 2주의 초기 휴먼 기간이 지나면 트로이목마는 파일 전송, 파일 실행, 시스템 프로파일링, 재부팅 및 시스템 서비스 실행 중지 기능을 포함하는 작업이라는 명령을 검색하고 실행한다. 간단히 말하면 머신 전체를 완전히 손에 넣는 것이다.  이 악성코드는 OIP(Orion Improvement Program) 프로토콜에서 네트워크 트래픽을 숨기고 합법적인 플러그인 구성 파일에 부정한 데이터를 저장해 합법적인 솔라윈즈 활동과 혼합될 수 있다.  솔라윈즈는 30만의 고객 가운데 1만 8,000 곳 미만이 트로이목마를 다운로드했다고 밝혔지만, 이 숫자조차 너무 많다. 피해자는 전 세계 컨설팅, 기술, 통신, 석유 및 가스 업체와 특히 국방부, 재무부, 상무부와 같은 미국 정부기관 등이 포함된 것으로 알려졌다.  가장 최근의 피해자는 내부 시스템에서 오리온 트로이목마를 발견한 시스코시스템즈다. 시스코시스템즈는 성명에서 “솔라윈즈 공격 발표 후, 시스코 시큐리티는 바로 즉시 기존 사고 대응 프로세스를 시작했다”라고 밝혔다.  시스코시스템즈 측은 “우리는 소수의 연구소 ...

2020.12.30

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8