솔라윈즈 사태는 사이버전의 국면을 뒤엎을 사건이었다. 이 사건 하나로 현대 IT 환경이 가지고 있는 고질적인 문제가 모든 해커들에게 드러났기 때문이다. 기대하시라. 솔라윈즈는 금방 잊을 만한 큰 건들이 몰려온다.

[보안뉴스 문가용 기자] 솔라윈즈(SolarWinds) 사태가 연말의 모든 헤드라인을 뒤덮었다. 수천 개의 조직들이 이 공격의 영향을 받았는데, 이 중에는 250여 개의 연방 기관들과 각종 민간 기업들이 포함되어 있었다. 그러면서 모든 조직의 지도자들은 깨닫게 되었다. 공급망 공격이라는 것에 현대 사회의 조직들이 얼마나 노출되어 있는지를.


보안 업계 전문가들이 입을 모아 말했듯, 솔라윈즈 사태는 아직 우리가 전혀(라고 해도 이상하지 않을 만큼) 탐지할 수 없는 사이버 공격 유형이 존재한다는 것을 강렬하게 드러냈다. 뿐만 아니라 정부 기관들과 민간 기업들의 네트워크가 그리 강력하지 않다는 것도 증명됐다. 덕분에 국가안보회의는 부랴부랴 태스크포스팀을 만들어 이 사건에 대한 종합적인 대책을 마련토록 해야만 했다. 이 팀의 이름은 사이버통합합동그룹(Cyber Unified Coordination Group)이다.

솔라윈즈 공격의 가장 허술한 부분은(그러므로 공격자들에게 공략 당한 부분은) 솔라윈즈에서 만든 오리온(Orion)이라는 플랫폼의 정상 소프트웨어 업데이트 파일이었다. 공격자들은 오리온의 고객이라면 당연하게 신뢰할 업데이트 파일에 자신들의 악성 코드를 숨겨 두고, 이 감염된 파일을 정상 파일인 냥 배포했다.

어떤 관계 및 네트워크에서나 맹목적인 신뢰와 길고 복잡한 연결고리들에는 문제가 잠재되어 있다고 보면 된다. 이번 사태에서도 고객사들은 솔라윈즈의 업데이트 프로세스를 오랜 시간 믿어왔고, 업데이트가 공급되는 네트워크는 방대하고 복잡했다. 안타까운 건 이 두 가지 요소를 가지고 있지 않은 웹 애플리케이션과 웹사이트는 거의 없다는 것이다. 따라서 이번에는 오리온이라 소프트웨어였지만, 다음에는 다른 흔한 웹 애플리케이션이 될 수도 있다.

웹 애플리케이션의 연결고리, 즉 공급 사슬은 대단히 복잡하다. 현대 앱들의 필수요소인 서드파티 코드 때문이다. 오날 날 만들어지는 웹 애플리케이션들은 평균 1천 개의 서드파티 요소들을 포함하고 있다(이를 코드 디펜던시라고 부른다). 게다가 이 서드파티 요소들마저도 또 다른 서드파티 요소들에 의존하고 있는 경우가 많아 한 앱에 연루된 서드파티 코드를 전부 추적하다 보면 천 단위에 금방 다다를 수 있다. 게다가 서드파티 요소들을 만드는 최초의 개발자들 중 보안을 처음부터 고려한 사람은 드물다.

2019년, 서드파티 코드에 대한 지나친 의존도가 가져다줄 수 있는 부작용에 대한 보고서가 발표됐었다. 보고서를 집필한 연구원들은 가장 큰 부작용으로 권한 분리(privilege separation)가 제대로 작용되지 않는 것을 지적했다. 즉 한 앱을 구성하고 있는 모든 서드파티들이 전부 앱과 동일한 권한을 갖게 되는 것이 문제라는 것이다. 그렇게 될 경우 서드파티 요소 하나만 침해해도 악성 코드를 소프트웨어의 업데이트 파일에 심을 수 있게 된다. 솔라윈즈 사건과 동일한 사고가 또 발생하게 된다는 뜻이다.

다만 웹 앱 생태계에서 이런 일이 발생하면 솔라윈즈와는 비교도 되지 않을 정도로 사태가 심각해진다. 당시 보고서 집필자들은 단 20개의 서드파티 유지관리용 계정을 통해서 웹 생태계 전체의 절반에 영향을 줄 수 있다는 것을 발견했기 때문이다. 단 하나의 계정만 파고드는 데 성공해도 전 세계적인 영향이 나타날 가능성이 농후하다.

솔라윈즈만이 문제가 아니다. 소리소문 없이 메이지카트(Magecart)라는 웹 스키밍 공격자들의 수법도 사이버 범죄자들 사이에서 하나의 트렌드로 굳어져 가고 있다는 것을 염두에 두어야 한다. 이들은 라이브 채팅 위젯 등과 같은 서드파티 스크립트에 악성 코드를 주입해 사용자가 특정 웹 페이지에 접근할 때마다 악성 코드가 발동되도록 만든다. 메이지카트의 경우 이 악성 코드가 ‘스키머’ 기능을 가지고 있어, 신용카드 정보를 수집해 공격자들에게 전송한다.

게다가 국가 지원 해킹 단체들도 이런 웹 구조를 이용한 공급망 공격을 실시한다. 이미 수많은 보안 연구자들이 웹 공급망 공격의 배후에 국가 지원 해킹 단체가 있는 경우를 보고해 왔다. 공격자들은 국가의 지원을 받든 안 받든, 결국 구조 상 가장 취약한 부분을 공략하기 때문에 공급망 공격을 하지 않을 이유가 없다.

따라서 가까운 미래에 무차별적인 공급망 공격이 실행될 것은 불을 보듯 뻔한 일이다. 이 문제를 해결하려면 지금 움직여야 한다. 어디에 우리의 약한 고리들이 있고, 어떤 방법을 통해 강화시킬 수 있는지 알아내고 조치를 취해야 한다. 특히 서드파티에 대한 무한정 신뢰와 의존성을 차츰 줄여나갈 방법을 모색하는 것이 중요하다. 서드파트 요소들을 사용하지 말라는 게 아니라, 안전하게 사용하는 방법들을 찾아야 한다는 것이다.

웹 공급망 공격은 계속해서 복잡, 정교해지고 있다. 클라이언트 측에서의 코드 사용이 갈수록 복잡해지고 방대해지고 있다는 것을 공격자들이 노리고 있고, 앞으로도 그럴 것이기 때문이다. 지금의 복잡한 공급망 구조들로서는 이 공격을 막을 방법이 없다. 보다 안전한 생태계 구성이 필요하다.

글 : 루이 리베이로(Rui Ribeiro), CEO, Jscrambler
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>