공급망 공격 해커 : 북한 정찰총국, 중국 사이버통합부대, 미국 국가안보국 등 포함
국내 해킹 : 2011년 S사와 A항공사, 2015년 G사, 2016년 B소프트사 등 지속적 발생
망구분, 불필요한 SW 삭제, 개발 관리자 PC와 제품 빌드 영역 등 별도 관리 필요

[보안뉴스 김경애 기자] 북한이 29일 오전 3시경 평양 인근인 평성에서 탄도미사일을 발사했다. 이번에 발사한 미사일은 고도 약 4500km, 예상 비행거리 약 960km로 알려졌다.


문재인 대통령은 29일 오전 6시 국가안전보장회의(NSC)를 소집해 “정부는 북한의 도발을 절대 좌시하지 않을 것”이라며 “압도적인 힘의 우위를 기반으로 북한의 핵과 미사일 위협으로부터 대한민국을 보호하고 북한의 위협을 제거할수 있는 역량을 한층 강화시켜 나가겠다”고 말했다.

이어 “대륙간을 넘나드는 북한의 탄도 미사일이 완성된다면 상황이 걷잡을 수 없이 악화될 수 있다. 북한이 상황을 오판해 우리를 핵으로 위협하거나 미국이 선제타격을 염두에 두는 상황을 막아야한다”고 강조하며, “트럼프 대통령과의 회담에서 이끌어낸 탄도미사일 탄두중량 제한 철폐와 첨단군사자산의 획득과 개발 등의 합의에 기초해 우리 군의 미래역량 강화를 위한 조치를 가속화하라”고 지시했다.

우리 군은 탄도미사일 도발에 대흥해 동해상으로 미사일 합동 정밀 타격훈련을 실시했다. 이에 따라 북한의 사이버 공격위협에도 단단히 대비를 해야 할 것으로 보인다. 특히 소프트웨어(SW) 업체나 SW 제조사를 직접 공격하는 공급망 공격인 ‘서플라이 체인 어택(Supply Chain Attack)’ 공격 주체로 북한 정찰총국 사이버부대 121국이 지목되고 있어 이에 대한 대비가 시급하다.

더군다나 중국 사이버통합부대와 미국 국가안보국(NSA) 등 국가별 사이버전 전문조직과 2011년 방산 및 화학분야를 공격한 Nitro와 2009년 온라인게임업체를 공격한 Winnti 등 국제 해커조직 등도 서플라이 체인 어택의 공격주체로 떠오르고 있어, 이에 대한 대응은 갈수록 중요해지고 있다.

국내에는 지난 7월 발생한 넷사랑 해킹 사건을 통해 다시 한 번 보안위협의 심각성이 집중 조명됐다. 게다가 2018년 예상되는 보안위협으로 공급망 공격이 손꼽히고 있다. 이와 관련,보안업체 하우리에서는 2018년 보안위협 동향에 기반 공급망을 이용한 공격 증가를 꼽았다.

공급망공격인 서플라이 체인 어택은 정상 프로그램의 공급망을 직접 공격하는 것으로 소프트웨어와 하드웨어 제품 개발, 제조 및 공급 단계에 제품의 악의적 변조를 통해 최종 대상 기관의 시스템을 해킹한다.

이러한 공급망을 노린 해킹사고는 이미 일찍부터 싹이 보였다. 국내의 경우 2011년 S사 개인정보 유출사고, 2011년 A항공사 홈페이지 변조사고, 2015년 G사의 PC 최적화 SW 업데이트 서버 해킹 사고, 2016년 B소프트사, 이미지뷰어 SW 업데이트 서버 해킹사고 등이 발생한 바 있다.

그렇다면 해커들은 왜 이런 공격을 하는 것일까? 이유는 이러한 공격을 통해 여러 곳을 뚫을 수 있고, 은밀하고 지속적인 공격이 가능하기 때문이다. 또한 목표 대상보다는 허술한 보안 관리도 공격의 원인으로 꼽힌다.

이들은 소프트웨어인 보안제품, 자산관리, PMS, 백신 업데이트 서버 등을 통해 악성코드를 심어 감염시킨다. 하드웨어로는 네트워크 장비, 산업제어부품, PC, 노트북, 서버 등을 공격한다.

해커는 서드파티(3rd Party)에 소프트웨어와 하드웨어 제조공정에 악성코드를 삽입해 1st인 납품업체를 공격한다. SW의 경우 패키징 서버 등 해킹 후 설치 파일에 악성코드를 삽입하고, 하드웨어에는 시스템 제어 모듈 등에 악성코드를 삽입한다. 이들은 워터링홀 등을 통해 서드파티 웹서버를 해킹한 후 악성코드를 유포한다. 업무와 관련된 협력업체의 웹사이트를 해킹한다.

해커는 주로 군, 산업제어시설, 대기업, 금융관련 등을 타깃으로 한다. 이들의 목표는 국가 중요정보를 탈취하고, 기반시설시스템 파괴(사이버전), 대기업 주요제품 기밀 정보 탈취(산업 스파이), 개인 및 금융정보 등을 탈취해 금전적 이득을 노린다.

하지만 SW 제조사나 하드웨어(HW) 등의 업체의 보안은 상대적으로 취약하다는 지적이다. 이와 관련 한국인터넷진흥원 분석1팀 김광연 책임연구원은 ‘2017 대한민국 화이트햇 컨퍼런스’에서 △망구분(개발, 업무영역) 운영 조치, △퇴직자 시스템 관리체계 및 내부 불필요한 SW 삭제 권고, △개발과 관련된 관리자 PC 및 서버 재설치, △제품 빌드 영역은 별도 폐쇄망 운영 권고, △방화벽 운영 권고 및 로그저장 요청 등이 이뤄져야 한다고 제시했다.

공통 대응전략으로 김광연 KISA 책임연구원은 “내부 보안 관리체계의 확립과 철저한 운영으로 망이 구분돼 운영돼야 하며, 패스워드 정책, 주기적인 서버보안 점검, 직원보안교육 등이 이뤄져야 한다”고 강조했다.

이어 내부 전산자원에 대한 등급 관리가 이뤄져야 하며, 주요 서버에 대한 비정상(서비스, 외부 IP 접근 등) 이벤트 등을 적용한 전산자원 모니터링이 돼야 한다고 밝혔다. 또한 사고 발생 시 신속하게 대응할 수 있는 비상연락망이 구축돼야 한다고 덧붙였다.

SW개발사의 경우 김광연 책임연구원은 “제품 패키징과 코드서명관련 작업 체계 정립 등이 운영 돼야하고, 무결성을 요하는 작업에 대한 승인과 작업일지에 대한 주기적인 검토가 돼야 한다”며 “빌드 과정과 연관된 시스템은 최소한의 서비스와 외부 접속이 차단돼야 한다”고 당부했다.

HW 제조사는 협력사를 통해 제조되는 모듈에 대한 무결성 검증절차 운영돼야 한다. 일정기간마다 외부 모듈에 대한 무작위 샘플링을 통해 무결성을 검증하는 것이 바람직하다. 뿐만 아니라 제조공정에 대한 엄격한 물리적 접근제어도 수반돼야 한다.

마지막으로 최종 피해기관에 대해 김광연 책임연구원은 “무결성을 검증할 수 있는 기술과 인력(대응팀)이 확보돼야 한다”며, “사용되는 협력업체제품 등에 대한 검수와 협력사 관리감독 체계를 마련하고, 투명한 공급망 관리를 위해 SW업체와 HW업체의 보안 수준 등을 확인해야 한다”고 말했다. 또한 관계기관과의 공동모의 훈련 계획 등도 함께 고민해야 한다고 덧붙여 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>