사이버 공격자들이 현대 IT 생태계의 위태로운 구조를 간파했다. 그러면서 서서히 그 구조의 바닥층을 흔들기 시작했다. 작은 흔들림일 뿐인데, 우리가 살고 있는 윗층에서는 흡사 지진이 난 듯한 효과가 나고 있다.

[보안뉴스 문가용 기자] 그 어느 때보다 디지털 공급망 공격이 심해지고 있다. 가트너는 2022년을 위협하는 일곱 가지 보안 위험요소들 중 공급망 공격을 포함시키기도 했다. 이 때문에 CISO들과 CIO들, 더 나아가 CEO들까지 공급망 공격에 대해 보다 깊은 관심을 보일 수밖에 없는 상황이다.


왜 디지털 공급망이 문제가 되고 있는가? 지금의 디지털 생태계를 구성하는 각 요소들이 복잡하게 얽히고 설키면서 층층이 쌓여있기 때문이다. 아랫단을 건드리면 맨 위의 표면까지 흔들릴 수밖에 없고, 위태로운 표면은 다시 또 다른 아랫단을 흔든다. 작은 요소 하나만 잘 공략해도 생태계 전체를 위협하는 것이 공급망 공격이라는 것이다. 저 먼 나라의 어떤 취약점 하나가 오늘 우리 회사의 서비스를 마비시킬 수 있다는 뜻이다.

디지털 공급망의 위험성을 세부적으로 풀어보면 다음과 같다.
1) 디지털 공급망 공격은 공격자들 입장에서 매우 효율이 높다. 공격자라면 누구나 시도해봄직 하다. 시도해봄직 하다는 건 공격의 양 자체가 늘어난다는 뜻이다.

2) 웹 기반 애플리케이션과 서비스의 개발자들은 빠른 출시일에 맞추기 위해 외부 코드를 점점 더 많이 가져다 쓰고 있다. 공급망이 더 복잡해지고, 상호 연결성 혹은 상호 의존성이 높아지면서 생태계 자체가 더 위태로워진다. 이런 개발의 패러다임은 바뀌지 않을 것이며, 따라서 우리는 매일 더 위험해지는 디지털 생태계 속에서 삶을 영위하는 중이다.

3) 요즘의 디지털 생태계에서 클라우드가 차지하는 비중이 늘어나고 있다. 그런데 아직 우리는 클라우드 보안에 익숙하지 않고, 클라우드 업체에 모든 걸 맡기는 편이다. 클라우드 업체는 ‘보안은 고객과 업체가 공동으로 책임져야 한다’는 입장이다. 그러면서 클라우드 보안이 가운데서 붕 뜨게 되는 경우가 많다. 클라우드 보안이라는 것 자체가 불분명하며, 이것 자체로 공급망 공격이 더 활성화되고 있다.

4) 해커들 입장에서 특정 기업을 직접 해킹하는 것보다 인프라 저변에 깔린 요소의 오래된 취약점 하나를 익스플로잇 하는 게 훨씬 쉬운 일이다. 즉 공급망 공격은 난이도가 낮기까지 하며 편리하다. 공급망 공격이 실제로 점점 늘어난다는 것이 이를 방증하기도 한다.

결국 앞으로 공급망 공격이라는 게 빠르게 늘어날 환경이 고루 갖춰졌다고 정리할 수 있다. 괜히 백악관에서 공급망 공격으로부터 연방 기관들을 지키는 걸 1순위로 다루고 있는 게 아니다. 이제 어떤 규모를 가지고 있든 모든 사업체와 기관들은 공급망 공격을 염두에 두고 방어 아키텍처를 구상해야 한다. 필자는 다음과 같은 것들을 제안한다.

1) 네트워크 내 모든 자원을 자동으로 파악할 수 있어야 한다 : 디지털 생태계가 상호 연결된 요소들로 빼곡하게 구성되어 있다고 설명했다. 그렇다는 건 공급망 공격을 막으려면 모든 요소들을 볼 수 있어야 한다는 뜻이 된다. 어떤 요소가 네트워크에 새롭게 들어섰고 어떤 요소가 빠져나갔는지 알아야 한다. 이런 과정에서 쓸데 없이 연결되거나 설치돼 위험 요소로서만 작용하는 장비나 앱, 계정들도 찾아낼 수 있어야 한다.

2) 취약점을 평가할 수 있어야 한다 : 1)의 과정을 통해 네트워크 내 모든 요소들을 파악하고 있다면, 그 중에서 취약한 것들 혹은 공격 통로가 될 만한 것들을 가려내야 한다. 공격자라면 어떤 요소의 어떤 취약점을 어떤 식으로 공략할 것인지 상상하고 대비하는 게 중요하다. 또한 그 요소와 연결되는 또 다른 요소들까지도 꾸준히 추적하는 게 좋다. 요즘은 취약점 익스플로잇이 상상하기 힘든 복잡한 경로로 시도되니까 말이다.

3) 지속적으로 모니터링 해야 한다 : 보안 아키텍처는 한 번 구성해 놓는다고 끝나는 게 아니다. 어제 안전했던 구조가 오늘은 완전히 위험한 것이 될 수 있다. 공급망 공격에 대하여서는 더욱 그렇다. 계속해서 네트워크 상황과 요소들을 모니터링 하고, 어떤 취약점 혹은 어떤 공격 표면이 새롭게 생겼는지 계속해서 살펴야 한다. 특히 서드파티 요소들, 그 중에서도 인터넷과 직접 연결되어 있는 것들에 대한 모니터링은 필수적이다.

4) 리스크 요인들의 우선순위를 정하고 대응 계획도 수립해야 한다 : 아무리 모든 요소들에 대한 가시성을 확보하고 매일처럼 취약점 현황을 모니터링 한다고 해도 조직 내에 존재하는 모든 취약점을 하루에 다 다룰 수는 없을 것이다. 그러므로 우선순위를 정하는 게 중요하다. 너무 치명적으로 위험해서 매일 모니터링 해야 하는 취약점과, 일주일에 한두 번 상황 파악만 해도 충분한 것들을 구분하라는 것이다. 그리고 이에 따라 실제 상황 발생 시 필요한 행동 대책들을 미리 마련하는 것도 반드시 해야 하는 일이다.

최근 발생한 사이버 공격들을 통해 우리는 해커들이 우리의 사정을 얼마나 잘 이해하고 있는지를 분명히 알게 됐다. 적들이 우리를 잘 이해하기 시작했다는 건 백전백패의 가능성이 높아지고 있다는 뜻이다. 지금에 와서 생태계의 구조를 바꿀 수는 없으니 보다 능동적으로 해커들이 들어올 만한 구멍을 찾아 막는 것이 공급망 공격에 대한 방어 대책이다.

글 : 랜 나미아스(Ran Nahmias), CBO, Cyberpion
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>