공급망 공격의 대표적인 사례 넷...경계 없는 보안이 중요한 이유
공급망 보안 강화하려면 주기적인 감사와 자체 평가만이 답

[보안뉴스 문가용 기자] 현대의 사이버 보안의 지평이 크게 바뀐 데에는 두 가지 요인이 있다. 디지털화(digitalization)와 상호연결성(interconnectivity)이다. 이 두 가지 현상으로 많은 활동들이 편리해지고 기업들은 더 많은 기회를 얻게 되었지만 그만큼 위험성도 높아졌다. 특히 상호연결성 때문에 네트워크와 시스템들은 큰 위험부담을 안고 갈 수밖에 없게 되었다. 더 문제는 이 두 가지 현상이 만들어내는 위협을 기업이 제대로 파악조차 못하고 있는 것이다.


이러한 현상이 가장 극명하고 가시적으로 드러나는 곳이 바로 이른바 aaS라고 하는 클라우드 기반의 서비스형 산업이다. ‘서비스형 소프트웨어(SaaS)’, ‘서비스형 플랫폼(PaaS)’, ‘서비스형 인프라(IaaS)’ 등이 바로 그것이다. 이 때문에 기존의 네트워크 ‘경계선’이라는 개념은 사라지다시피 했다.

그런데 이런 ‘서비스형’ 산업이 확산함에 따라 제품을 생산해서 소비자들에게 제공하는 공급 시스템에도 변혁이 따랐다. 소비자들에게 완제품을 쥐어주고 끝나는 게 아니라, 서비스나 제품을 매개로 하여 끊임없는 상호작용을 이뤄내야 하는 과제가 기업들에게 떨어졌기 때문이다. 그래서 협력 업체, 즉, ‘서드파티’들이 늘어났고, 이들의 권한 역시 높아졌다. 사이버 공격자들이 이 틈을 파고들기 시작했다.

결국 공급망의 성격이 변하고, 이 변화 속에 권한이 높아진 협력 업체들과, 그런 업체들 간의 상호 협력 수단이 되고 있는 소프트웨어들 역시 늘어나면서 공격의 방법이 훨씬 많아진 꼴이다. 실제로 최근엔 ‘공급망’ 공격이 사이버 보안의 큰 골칫거리가 되어가고 있기도 하다. 이것이 공급망 공격의 탄생 배경이다. 이를 조금 더 구체적으로 들여다보자.

신뢰, 버릴 수도 가질 수도 없는
인간과 기술의 관계는 완전하지 않다. 클라우드 기술만 해도 클라우드와 클라우드 간 상호작용 방법이 워낙에 다양하고 변수가 많기 때문에 불안정하고 예측할 수가 없다. 클라우드와 클라우드의 관계도 이런데, 여기에 사람이라는 변수까지 넣으면 불안감은 더 커진다. 사고를 예측한다는 건 있을 수 없는 일이다.

그럼에도 현대의 디지털 환경에서 사업을 한다면 클라우드를 빼놓을 수 없다. 수요가 높아지고 있고 공급도 활발해진다. 하지만 그에 어울리는 인증 기술, 안정성, 가시성과 같은 기술들은 눈에 띄지 않는다. 그래서 사이버 공격이 이 클라우드와 사람 간의 관계성에 개입해 들어오는데, 이것이 바로 ‘공급망 공격’이다.

클라우드 도입을 늘려가면서 위협을 줄이려면 사용자 기업들은 외부 감사 프로그램을 늘리고 내부적으로도 실사의 빈도수를 높여야 한다. 끊임없이 현재 보안 상태를 재평가하고, 그럼으로써 사각 지대를 1뼘이라도 더 좁혀가야 한다는 것이다. 이렇게 함으로써 실제 사건 발생 시 대응 시간도 줄일 수 있게 된다. 혁신적이지 않지만 가장 좋은 방법이다.

하지만 이러한 방법론이 일찍부터 존재했음에도, 공급망 공격은 계속해서 성공하고 있다. 수천만 명의 개인들이 직간접적으로 공급망 공격을 받아 신원이 노출되는 피해를 겪었다. 공급망 공격의 대명사로 굳어진 타깃(Target) 사건의 경우 4천 1백만 명의 기록이 밖으로 새나갔고, 운영진들이 해고됐다. 이 사건은 서드파티를 통한 우회 공격의 대표 사례로 꼽힌다.

가장 최근에 일어난 최신식 공급망 공격의 사례로는 골든아이(GoldenEye) 랜섬웨어 사건이 있다. 많은 기업들이 사용하고 있는 회계 서비스 플랫폼의 업데이트 과정에 공격자들이 들어와 수많은 사용자 업체들을 감염시켰다. 어떻게? 업데이트 서버 자체를 침해했고, 이를 통해 ‘정상 업데이트 파일’로 보이는 콘텐츠를 배포할 수 있게 된 것이다. 공급망 내 업데이트 서버 역시 안전하지 못하다.

다시 이야기를 몇 년 전으로 되돌려보면 또 다른 공급망 공격 사례가 있다. 일부 독자들은 기억할 것이다. 애플의 엑스코드(Xcode)라는 개발자 프레임워크 자체를 누군가 감염시키는 바람에, 이를 모르고 앱을 개발한 수많은 개발자들이 멀웨어가 심긴 줄도 모르고 앱을 공식 스토어에까지 출시한 사건을 말이다. 엑스코드에 탑재된 것은 정보를 탈취하는 것은 물론 기기의 원격 통제까지 가능하게 해주는 멀웨어였고, 엑스코드고스트(XcodeGhost)라는 이름이 붙었다. 공급망 내 개발자들도 취약할 수 있다는 점이 드러났다.

공급망이 복잡해짐에 따라, 또한 생산성 향상을 위해 원격에서의 관리가 점점 더 필요해짐에 따라 원격 관리나 지원을 가능케 해주는 자동화 툴들이 등장하기 시작했다. 정상적인 회사들이 정상적인 과정을 통해 만든 툴을 말한다. 하지만 이 역시 공격에 활용될 수 있다는 사례가 나왔다. 바로 시스템 퍼포먼스 최적화 툴인 씨클리너(CCleaner) 사건이다. 이 사건에서 공격자들은 씨클리너라는 합법적인 툴 자체를 공격해 멀웨어를 심었다. 이 때문에 약 2백 27만개의 시스템이 멀웨어에 감염됐다.

공급망 공격 위험, 어떻게 관리해야 하나
그러므로 업체 입장에서는 ‘우리 회사 네트워크’만 관리하는 게 아니라 협력 업체, 관계사, 고객사까지 전부 고려해야 하는 때가 되었다. 공급망에 포함된 모든 사람과 조직들을 관리할 수 있어야만 ‘안전하다’고 말할 수 있게 된 것이다. 내부 보안을 아무리 강화해봤자, 다른 협력 업체들이 보안을 느슨하게 한다면 말짱 도루묵인 상황. 그래서 보안에 경각심을 가진 업체들은 여러 방법을 동원하여 서드파티 업체의 보안 상태를 감사하기도 한다.

물론 갑을 관계에 있어 보안 강화 프로그램을 강제적으로라도 도입할 수 있으면 문제될 것이 없겠지만, 이런 입장에 있는 기업은 흔치 않다. 일반적으로는 공급망을 검토하여 가장 핵심적인 회사의 현재 상태를 파악하는 것부터 시작하는 것이 좋다. 그러면서 ‘위험도를 낮추고 리스크를 관리한다’는 차원으로 접근하여 프로그램을 공동으로 구축할 수 있도록 해야 한다. 위에서 언급했다시피 지속적인 평가는 꼭 필요한 요소이니, 이 점에 대해서는 반드시 동의를 이끌어내도록 한다. 해당 기업의 정책에도 영향을 줄 수 있으면 더 좋다.

사업적 관계에 따라 형태가 미묘하게 달라질 수 있지만 주기적인 보안 감사 혹은 점검 보고서를 제출하거나 교환하도록 하는 것이 큰 도움이 된다. 보안이 ‘끊임없이 움직이는 유동적인 과정’이라는 걸 이해하고, 또 이해시켜야 한다. 이런 과정을 두 회사의 사업적 관계에 집어넣어야 공급망 내에 존재하는 ‘공격 루트’를 지워낼 수 있다. 각 기업들이 서로만을 감시할 것이 아니라 내부적인 보안 강화 및 주기적 감사 프로그램을 진행해야 하는 것은 당연하다.

보안에 경계선은 없다
이제 보안 담당자들은 생각의 지평을 넓혀야만 한다. ‘우리 회사’로만 업무 범위를 좁혀서는 제대로 된 보안을 할 수 없다. 디지털화와 상호연결성이 이러한 ‘시야의 확장’을 강제해버렸다. 공격 표면이 기하급수적으로 늘어났는데, 보안 담당자들이 책상 앞에 앉아서 좁은 세상에 스스로를 가둘 수 없게 된 것이다.

디지털 상품과 서비스의 형태가 aaS로 바뀌고 있으니 보안의 사업 모델 역시 바뀌어야 할 때다. 지금 사이버 범죄자들은 디지털 기술로 이뤄진 전장을 마음껏 누비고 있다. 보다 강력한 인증 기술과 데이터 보호 기술에 더해 경계선 없는 현재의 디지털 세상의 특성을 받아들이는 것이 중요하다.

글 : 리비우 아르센(Liviu Arsene), Bitdefender
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>