솔라윈즈라는 충격적이며 상징적인 사건이 발생한 지 3년이 지났다. 우리는 많은 조치를 취하고 있고, 그러면서 또 다른 솔라윈즈 사태가 일어나지 않도록 애쓰는 중이다. 하지만 아직 갈 길이 더 남아있다.

[보안뉴스=마이크 월터스 회장, Action1 Corporation] 2020년 12월 솔라윈즈(SolarWinds) 사태가 발생하며 보안 업계는 충격에 휩싸였다. 아니, 충격에 휩싸인 건 보안 업계만이 아니었다. 소프트웨어 업체의 공식 업데이트 경로를 통해 사실은 멀웨어가 유포됐다고 하니, 각종 IT 기술의 업데이트에 익숙한 우리 모두가 경악할 수밖에 없었다. 이 공격의 영향을 받은 1만 8천여 개 조직들의 사정이 남의 이야기처럼 느껴질 수가 없었다. 그래서 정부도 이 ‘공급망 공격’이라는 것에 대해 보다 날 선 경계의 태도를 지금까지 보이고 있다.


그리고 3년이 지났다. 솔라윈즈 사태에 대하여 수많은 평론이 나오고, 더 많은 토론이 있었으며, 각종 대책이 마련됐다. 그럼에도 지금까지도 솔라윈즈 사태가 끝나지 않았다는 증거들이 속속 나오는 중이다. 아직 우리는 제2의 솔라윈즈 사태를 막기에 한없이 부족한 상태라는 뜻이다.

솔라윈즈 사태 다시 보기
우리가 아는 바 솔라윈즈 사태는 소프트웨어의 공급망이 얼마나 취약한지를 드러냈다는 데 의의가 있다. 충분한 실력을 갖춘 공격자라면 얼마든지 침투해 휘저을 수 있다는 것도 체감했다. 그래서 보안 업계는 그 후부터 지금까지 이 소프트웨어 공급망이라는 것 자체를 보호하기 위한 여러 가지 노력들을 실행해 왔다. 미국 정부는 공급망 공격이 국가 안보와 직결되는 문제라고 천명하며 이 문제를 다루고 있다. 그리고 올해 우리는 몇몇 새로운 사실을 추가로 알게 됐다.

올해 4월 사법부가 솔라윈즈라는 회사가 침해되었다는 사실을 탐지한 것이 2020년 5월이라는 사실이 드러났다. 사건이 알려지기 반년 전의 일이다. 사법부는 문제가 있음을 솔라윈즈 측에 알렸다. 같은 기간 보안 업체 볼렉시티(Volexity)가 미국의 한 싱크탱크에서 발생한 데이터 침해 사고를 조사하고 있었다. 이 때도 해당 싱크탱크가 사용하던 오리온(Orion) 서버에서 이상한 점이 발견됐었다. 오리온 서버는 솔라윈즈가 제공하는 플랫폼이다. 그러더니 2020년 9월, 또 다른 보안 업체 팔로알토 네트웍스(Palo Alto Networks) 역시 오리온 서버와 관련하여 이상한 현상이 나타나고 있음을 알아챘다. 볼렉시티도, 팔로알토도, 모두 솔라윈즈 측에 사안을 알렸다.

그러더니 2023년 10월 미국 증권거래위원회는 돌연 솔라윈즈의 CISO를 사기 혐의로 고발했다. 솔라윈즈의 투자자와 고객들에게 해킹 사건과 관련된 내용을 제대로 알리지 않았다는 게 그 이유였다. 보안이 엉망으로 유지되고 있다는 사실을 투자자들이나 고객이나 알 수 없었다고 위원회는 주장했다. 그러므로 투자는 투자대로 받았음에도 위험 요소는 전혀 사라지지 않고 있었다고 한다. 위에서 세 차례나 이상한 점을 제보 받았음에도 솔라윈즈의 보안 상태는 개선되지 않았다는 게 10월 당시 추가로 밝혀진 내용이다

사건이 터진 2020년 12월부터 사기죄 이야기가 나온 2023년 10월까지 우리는 솔라윈즈라는 회사에 크게 집중하지 않았다. 오로지 ‘공급망 보안’, 그리고 조금 더 나아가 OT 보안에 집중했었다. 하지만 공개되지 않았던 솔라윈즈의 내부 이야기가 드러나면서 보안 업계가 다뤄야 할 것은 더 많아졌다.

연방 정부의 대응
솔라윈즈 사태가 벌어지고 미국 정부는 공급망 보안을 강화하기 위해 여러 가지를 시도했다. 먼저는 사이버통합합동그룹(Cyber Unified Coordination Group, UCG)을 신설했다. CISA, FBI, ODNI, NSA가 주축이 된 일종의 보안 강화 태스크포스 같은 조직이었다. 정부는 ‘소프트웨어 공급망 보안은 모두가 함께 강화해야 하는 것’이라는 철학을 이 움직임을 통해 보여주었다.

그리고 2022년 1월 CISA는 연방 정부 기관들이 취약점을 찾아내고 조치를 취할 수 있도록 하는 지시문을 전달하기 시작했다. 그 후 여러 권고문과 안내문, 보고서도 꾸준히 발표하면서 실질적으로 소프트웨어 공급망을 위협할 수 있는 취약점들이 해결되도록 했다. CISA의 노력은 ‘가시성 확보’로 요약이 가능하다. 그러면서 CISA는 국가 차원의 보안 강화 작업의 가장 중심적인 역할을 담당하는 기관으로서 자리를 굳건히 다졌다. 그리고 민-관 협조와 정보 공유 체제를 강조했다.

그 해 6월 바이든 미국 대통령은 국가 및 지방자치단체 사이버보안법(State and Local Government Cybersecurity Act)에 서명하기에 이르렀다. 그러면서 각 계층의 정부 기관들은 물론 민간 조직들과의 협조 체계가 ‘법적으로 꼭 이뤄져야 하는 것’으로서 명시되었다. 공유가 법제화 된 순간이다. 역시나 ‘모두가 함께 참여해야 소프트웨어 공급망을 강화할 수 있다’는 기존 철학이 고수되었다.

미래 대비와 협업 체계
위의 이야기를 요약하면 ‘솔라윈즈 사태 한 방으로 보안에 대한 정부의 기존 입장과 태도가 완전히 뒤바뀌었다’가 된다. 사이버 보안과 관련된 규정이 더 생겼고, 관련 기관은 더 힘을 얻었다. 미덕 정도로만 언급됐던 첩보와 정보 공유가 필수적인 것이 됐고, 이 과정에서 사회 기반 시설에 대한 보안 강화에도 많은 자원이 투자되기 시작했다. 그러면서 솔라윈즈와 같은 안일한 태도는 더더욱 용납될 수 없는 것이 되었다. 업체들로부터 기대하는 보안 수준이 높아졌고, 업체들에 요구하는 보안 실천 사항은 지금도 계속해서 빡빡해지고 있다.

그러면서 ‘설계에 의한 보안(security by design)’이라는 개념이 다시 한 번 강력하게 떠오르게 됐다. 예전부터 있었지만 간과되었던 제로트러스트라는 개념이 코로나 기간을 지나며 새삼스레 강조되기 시작한 것과 비슷하다. 제품과 서비스를 완성시킨 후에 덧대는 식으로는 정부와 시장이 요구하는 수준으로 보안을 강화하기 힘들다는 깨달음이 퍼지고 있다는 것이다.

게다가 공격자들 역시 공급망 공격을 한층 진화시켰다. 이들은 솔라윈즈와 같은 개발사에 직접 침투하여 업데이트 채널을 공략하는 것을 초월해, 아예 개발자들이 처음 소프트웨어를 만드는 단계에까지 손을 대기 시작했다. 코드 리포지터리들에 악성 패키지들이 기하급수적으로 늘기 시작했다. 개발자들이 잘못된 패키지를 받아 개발 프로젝트를 완료하도록 일을 꾸미기 시작한 것이다. 그래서 설계 단계에서부터 보안 강화가 자연스럽게 도입되고 있다.

정말로 솔라윈즈 사건은 세상을 바꾸었다. 3년 전에도 충격적인 사건이었는데, 지금에 와서 정리해 보니 그 여파가 훨씬 크다는 걸 알 수 있다. 이제 기업들은 제보 받은 사건을 좀 더 진지하게 들여다 봐야 하며, 그로부터 얻은 내용을 정부와 유기적으로 공유해야 하고, 개발을 시작할 때부터 보안을 중요한 요소로서 기억해야 한다. 이전에는 잘 하지 않았던 협업과 공유에 훨씬 더 능숙해져야 하고, 보안을 염두에 둔 설계에도 익숙해져야 하며, 공급망 전체를 바라보는 넓은 시야도 갖춰야 한다. 전부터 있던 조언들이라고? 맞는 말이다. 다만 그때는 ‘그렇게 하는 게 이상적이다’의 수준으로 논의되었고, 지금은 ‘그렇게 하지 않으면 불법이다’로 톤이 바뀌었다.

글 : 마이크 월터스(Mike Walters), 회장, Action1 Corporation
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>