김미희 이글루시큐리티 보안분석팀장

[아이티데일리] 

김미희 이글루시큐리티 보안분석팀장
김미희 이글루시큐리티 보안분석팀장

 

대규모 사이버 공격의 원인, 공급망 공격

융·복합 첨단기술의 고도화는 경제·사회 구조의 전환을 가속화하면서 오늘날 산업 패러다임 전반에 큰 영향을 끼쳤다. 특히 생산자 중심에서 소비자 중심으로 공급망 가치 사슬이 재편됨에 따라, 공급망 구조가 사용자의 다양한 요구사항을 반영할 수 있도록 제조공정 간의 연계성을 강화하는 방향으로 변화했다. 그리고 이와 같은 유기적 연계의 핵심은, 공급자(Supplier)가 제품이나 서비스를 소비자(Consumer)에게 전달하는 프로세스를 구성하는 조직, 인력, 자원 등의 구성 요소와 공급망 아키텍처에 대한 이해가 다시금 필요하다는 데 있다.

다시 말해 기존에는 요구 사항 분석을 토대로 하드웨어나 소프트웨어를 설계(Raw Material)해 제조업체나 개발업체가 구현한 산출물을 소비자(Customer, Consumer)에게 배포(Distribution)하는 것이 일반적인 공급망 관리 프로세스였으나, 최근 그 프로세스에 ICT기술이 접목되면서 공급망의 자동화(Automation), 오케스트레이션(Orchestration), 제어(Control), 관리(Management)를 통해 비즈니스 유연성을 확보하고 생산성을 향상시키는 등 전반적인 가치를 극대화하고 있다.

그러나 문제는 이와 같은 긍정적인 효과에도 불구하고 인공지능, 빅데이터, 클라우드, IoT, IIoT 등 융합 기술의 확대가 공격 표면 증가로 이어지게 되면서 새로운 위협 요소로도 작용한다는 점이다.

그림 1. 공급망 관리 프로세스(출처: 이글루시큐리티)
그림 1. 공급망 관리 프로세스(출처: 이글루시큐리티)

공격 표면의 확대는 공급망을 구성하는 하드웨어나 소프트웨어의 위·변조 행위인 공급망 공격(Supply Chain Attack)을 유발한다. 하드웨어나 소프트웨어 기반의 1차 공급망(Primary Production)에서 최종 소비자(Program Office)에 이르기까지 공급망을 구성하는 하드웨어, 소프트웨어, 펌웨어, 데이터는 악의적인 공격(Malicious Insertion)의 대상이 되며, 정상파일이나 프로세스의 교체 및 유입으로 인해 기밀성과 무결성이 훼손되고, 최종적으론 제품이나 서비스의 가용성에도 영향을 미칠 수 있다.

공급망 공격은 공급망을 구성하는 프로세스 전반에서 발생하며 이전 단계에서 유입된 공격코드 및 스파이칩이 다음 단계의 하드웨어나 소프트웨어에도 연쇄적으로 영향을 미치기 때문에 더욱더 위협적이다. 예를 들어 무결성이 확보되지 않은 위조부품이나 모듈, 라이브러리 등이 제품 초기 단계에서 포함되면 해당 부품이나 모듈을 사용하는 2차 산출물에 악영향을 미치게 된다. 이는 언뜻 단순히 특정 제품이나 서비스를 타깃으로 하는 공격으로 보여도, 궁극적으론 스마트시티, 자율주행, 스마트팩토리와 같이 ICT산업 전반이 잠재적인 공격 대상이 될 수 있음을 의미한다.

그림 2. 공급망 공격 프레임워크(출처: MITRE : Supply Chain Attack Framework and Attack Patterns 내 Point of Attack 일부 재구성)
그림 2. 공급망 공격 프레임워크(출처: MITRE : Supply Chain Attack Framework and Attack Patterns 내 Point of Attack 일부 재구성)

마이터(MITRE)에서 발표한 ‘공급망 공격 프레임워크 및 공격 패턴(Supply Chain Attack Framework and Attack Patterns)’에 따르면, 공급망 공격의 발생 지점은 크게 물리적 측면(Physical Flow)과 정보 및 데이터 측면(Information and Data Flow)으로 나뉜다. 물리적 측면에서는 제품 제조 공정이나 패키징 과정에서 의도하지 않은 부품이나 기능이 포함될 수 있으며, 정보 및 데이터 측면에서는 공급망을 구성하고 있는 CI/CD 인프라 취약점, 분산 운영환경, 접근제어 미흡 등으로 데이터 유출이나 주요 시스템 파괴 등의 공격이 발생할 수 있다.

이렇듯 발생 가능한 공급망 공격의 범위가 매우 다양한 바, 실제 공격 사례 분석을 통해 공격 유형별 위협 요소 및 대응 방안을 살펴보고 공급망 환경에서의 효과적인 위험관리 전략을 모색해보고자 한다.


공급망 사고 사례 분석을 통한 공격 유형 분석

2017년부터 최근 5년간 발생한 공급망 공격 사례를 살펴보면, 크게 하드웨어 기반과 소프트웨어 기반으로 분류해볼 수 있다.

가장 먼저 하드웨어 기반 공급망 공격의 경우 IC칩, PCB, 펌웨어 등을 대상으로 ▲하드웨어 트로이 공격(HT, Hardware Trojan) ▲부채널 공격(SCA, Side Channel Attack) ▲FPGA(Field-Programmable Gate Array)공격 등을 일으켜 하드웨어 디바이스의 논리적 결함을 유발하고 궁극적으론 정보 유출이나 시스템 파괴를 가져온다.

특히 초기 제작 후 프로그래밍이 가능한 반도체 FPGA는 하드웨어와 소프트웨어의 장점이 결합돼 항공장비, 자동차, 의료장비, 통신장비 등 다양한 분야에서 활용되고 있지만, 공급망 공격에 악용되는 경우도 적지 않다. 프로그래밍이 가능하기 때문에 FPGA 제조 프로세스 과정에서 설계자가 의도하지 않은 기능을 포함하거나, 하드웨어 트로이 공격과 결합돼 특정 조건을 충족하면 트리거가 구동, 공격자가 설정한 악의적인 작업을 실행하기도 한다.

2019년에 발생한 스랭그리캣(Thrangrycat)과 스타블리드(Starbleed)는 하드웨어 기반의 공급망 공격 중에서도 FPGA의 논리적 결함으로 인한 취약점이다. 우선 CVE-2019-1649로 명명되는 스랭그리캣 취약점은 FPGA의 펌웨어 파일인 비트스트림(Bitstream)에서 보안 기능을 담당하는 트러스트 앵커(Trust Anchor Module)의 논리적 결함을 이용해 권한 상승을 유발했으며, 스타블리드 역시 설계상의 결함으로 불법적인 원격 제어가 가능하게끔 했다. 그리고 이러한 취약점들이 FPGA 시장에서 상당수를 차지하고 있는 자일링스(Xilinx)와 알테라(Altera)제품에서 발견돼, 그 파급력은 더더욱 컸다.

이보다 앞선 2017년 블룸버그의 보도를 통해 알려진 슈퍼마이크로(Supermicro)의 스파이칩 사건 역시 대표적인 하드웨어 기반 공급망 공격 사례다. 조금 전 언급한 사례들이 FPGA의 논리적 결함을 악용한 사건이라면 슈퍼마이크로 스파이칩 사건은 중국 정보기관에 의해 육안으로 식별하기 어려운 물리적인 스파이칩이 메인보드에 탑재돼, 하드웨어 교체 외에 해결 방안이 없었다는 게 가장 큰 문제였다. 해당 스파이칩 이슈를 제기한 보도 내용의 진위 여부에 대해서는 일부 논쟁이 있기는 했으나, 물리적 칩의 유무나 논리적 결함 발생 시 하드웨어 교체가 가장 확실한 해결 방안이라는 점에서 소프트웨어에 비해 높은 기술 난이도와 시간이 요구돼 상당수의 공급망 공격은 소프트웨어 기반에서 발생되고 있다.

표 1. 최근 5년간 발생한 공급망 공격 현황(2017-2021)(출처: 이글루시큐리티)
표 1. 최근 5년간 발생한 공급망 공격 현황(2017-2021)(출처: 이글루시큐리티)

물론 그렇다고 해서 소프트웨어 기반의 공급망 공격이 하드웨어 기반 공격에 비해 기술적으로 현저히 쉽거나 그 영향도가 낮은 것은 아니다. 2020년 다수의 정부기관과 민간기업에 파괴적인 영향을 끼친 마이크로소프트의 익스체인지(Microsoft Exchange) 서버 취약점과 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 감염, 솔라윈즈(SolarWinds) 공급망 공격 사태는 서드파티 소프트웨어(3rd Party Software)로 인한 공격의 파급력을 인지할 수 있는 대표적인 사례였다.

서드파티 소프트웨어 타깃의 공급망 공격은 ▲위·변조 패치 파일 배포 ▲CI/CD 도구 취약점 공격 ▲접근제어 우회 등의 공격을 통해 소프트웨어 사용자 다수를 타깃으로 확보할 수 있어 주로 공격 거점 및 공격 경로로 활용되고 있다.

표 2. 공급망 공격 유형 분류(출처: 이글루시큐리티)
표 2. 공급망 공격 유형 분류(출처: 이글루시큐리티)

소프트웨어 기반 공급망 공격 기법을 조금 더 상세히 분석하기 위해 마이터의 ‘기업을 위한 어택 매트릭스(ATT&CK Matrix for Enterprise)’를 토대로 매핑하면, 해당 공격 프로세스는 크게 4가지 단계로 나눠볼 수 있다.

첫 번째 단계인 ‘공격 대상 선정 및 경로 확보 단계’에서는 서드파티 소프트웨어 개발자, 시스템 관리자들을 대상으로 스피어피싱, 워터링홀과 같은 사회공학적 공격 기법을 통해 진입점을 확보하거나, 중앙관리형 소프트웨어 및 VPN, 방화벽 등의 관리자 페이지 노출, 접근 제어 미흡 등을 통해 내부망 또는 개발망의 직·간접적인 접근 경로를 확보한다.

다음 단계에서는 수집된 정보를 토대로 업데이트 서버, 배포 서버, 형성관리 서버 등에 접근해 악성파일 설치 및 백도어 등의 방식으로 공격을 유지하게 된다. 이후 권한 상승, 자격증명탈취 등으로 권리자 권한을 확보하고, 탐지 솔루션 무력화 및 추가 공격 대상에 위·변조된 소스코드, 실행파일, 업데이트 파일, 모듈 등의 패치 파일을 배포해 시스템 파괴, 내부 시스템 악성 파일 감염 등을 일으킨다. 그리고 마지막 단계에서는 내부 시스템에 배포된 악성 파일들을 이용해 C&C로 내부 데이터 유출, 시스템 무결성 및 가용성의 손상을 끝으로 공격을 종료하게 된다.

그림 3. 소프트웨어 기반의 공급망 공격 구성도(출처: 이글루시큐리티)
그림 3. 소프트웨어 기반의 공급망 공격 구성도(출처: 이글루시큐리티)

소프트웨어 기반의 공급망 공격 중 주로 사용되는 기법은 위·변조 패치파일을 이용한 공격이다. 명령어나 패치 파일의 일괄 적용을 위한 시스템인 중앙관리형 소프트웨어의 업데이트 서버를 타깃으로 발생한 한 공격 사례를 통해 자세히 살펴보자.

일반적으로 망분리된 환경에서는 내부망과 외부망에 개별 업데이트 서버를 두고 패치관리를 수행하게 된다. <그림 4>의 경우에는 공격자가 웹 해킹으로 경유지를 감염시킨 후 외부망 업데이트 서버에 접근해 위·변조된 패치파일을 업로드, 연쇄적으로 내부망 업데이트 서버에까지 해당 파일이 업로드되면서 직접적으로 내부망 서버를 공격하지 않고도 내부망에 존재하는 사용자PC에 악성코드를 유포했다.

그림 4. 업데이트 서버를 통한 위·변조 패치파일 배포 공급망 공격 구성도 (출처: 이글루시큐리티)
그림 4. 업데이트 서버를 통한 위·변조 패치파일 배포 공급망 공격 구성도 (출처: 이글루시큐리티)

최근에는 이슈관리, 형성관리, 배포관리를 위한 CI/CD인프라를 공격하는 사례가 꾸준히 증가하는 추세다. <그림 5>는 이슈관리를 목적으로 사용하는 상용 솔루션 아틀라시안(Atlassian)의 원격코드 실행 및 관리자 페이지 접근 등의 취약점을 악용한 공격 사례를 토대로 작성된 공격 구성도다. 공격자는 이슈관리솔루션의 취약점을 교두보 삼아 웹쉘을 업로드, 직접 접근이 불가했던 개발 서버에 접근하고 악성코드를 설치해 시스템 권한 탈취 및 백도어를 통한 정보 유출을 성공시켰다.

그림 5. 이슈관리솔루션 취약점을 이용한 공급망 공격 구성도(출처: 이글루시큐리티)
그림 5. 이슈관리솔루션 취약점을 이용한 공급망 공격 구성도(출처: 이글루시큐리티)

이처럼 소프트웨어 기반 공급망 공격은 소프트웨어를 구현하는 소스코드 상의 결함 외에도 통합개발환경(IDE), 오픈소스 기반 개발 도구, 인프라 환경(SVN, GIT) 등 소프트웨어 산출물을 구현하기 위한 개발환경에 영향을 받지 않을 수 없기 때문에 운영환경 보안 수준에 준하는 개발환경의 보안 강화가 요구되며 주기적인 모니터링 체계도 수립돼야 한다. 또 사용자 입력 값 검증 미흡, 보안기능 무력화, 기능 설정상의 오류(Misconfiguration)등 보안 소프트웨어 라이프사이클(Secure Software Development Life Cycle)을 고려한 다각도의 공급망 보안 전략을 마련할 필요가 있다.


체계적인 공급망 보안 강화 방안

2021년 5월 바이든 행정부는 마이크로소프트 익스체인지 서버 취약점과 솔라윈즈 사태를 겪으며 연방정부의 보안강화 대책으로 ▲사이버 위협정보 공유 ▲연방정부의 사이버보안 현대화 ▲소프트웨어 공급망 보안 강화 ▲소프트웨어 부품표(SBOM, Software Bill of Materials) 명시 ▲사이버보안 취약성 및 사고대응을 위한 플레이북 표준화 등의 내용을 담고 있는 ‘국가 사이버 보안강화 명령(Executive Order on Improving the Nation's Cybersecurity, 14028)’을 발표했다. 그리고 이후 CISA와 NIST에서는 후속조치의 일환으로 사이버 공급망 위험관리(C-SCRM, Cyber Supply Chain Risk Management) 프레임워크와 SSDF(Secure Software Development Framework)를 권고하는 등 공급망 생태계 보안의 중요성을 인지하며, 이를 강화할 수 있는 활동을 지속하고 있다.

공급망 보안 강화를 위해 가장 중요한 건 부품(하드웨어 및 펌웨어 등을 포함한 소프트웨어)을 제공하는 생산자(Producer)와 소비자(Customer, Consumer)의 관점 별 대응 전략을 수립하는 것이다.

우선 생산자 관점에서는 부품 생산에 참여하고 있는 하드웨어 설계자, 3PIP(Third-party Intellectual Property) 제공자, FPGA 개발자 등에 의한 악의적인 공격코드 삽입 및 로직 구현에 대응하기 위해 하드웨어 보안검증 정책 및 표준과 프로세스를 정립할 필요가 있다. 공급망 보안 아키텍처 설계 시에는 NIST SP800-193에서 제공하는 플랫폼 디바이스의 무결성 검증 보안 매커니즘을 활용해 신뢰성을 확보하고, FPGA의 하드웨어 트로이 공격 발생 가능성을 탐지하는 머신러닝 기법 등의 기술적인 대응도 필요하다. 그뿐만 아니라 역공학과 임의 변조에 대비한 소프트웨어 개발보안(Security by Design)을 위한 조직 운영 및 인프라 구성도 중요하다.

소비자 관점에서는 납품된 부품의 위조부품여부를 판단하고 대응하기 위해 ▲회피(Avoidance) ▲탐지(Detection) ▲경감(Mitigation) ▲폐기 및 의사소통(Disposition & Communication)의 과정으로 구성된 록히드마틴에서 제시하는 ‘위조부품 발견 프로세스’를 활용할 수 있다. 문서를 통한 정품인증여부 판단, 크기나 식별 번호 등의 비교를 통한 탐지, 그리고 위조 부품 발견에 대한 대응까지 소비자는 해당 프로세스에 따라 위조부품으로 인한 피해를 최소화할 수 있다.

표 3. 관점별 공급망 공격 대응방안(출처: 이글루시큐리티)
표 3. 관점별 공급망 공격 대응방안(출처: 이글루시큐리티)

공급망 공격은 타깃이 되는 공급망의 특성상 연쇄성과 확장성이 높아 무서운 파급력을 갖는다. 또 현재 대다수의 산업들이 전 세계에 걸쳐 촘촘하게 짜인 글로벌 공급망을 보유하고 있는 만큼, 잠깐의 방심과 작은 빈틈으로 촉발된 공격이 자칫 국가 간의 분쟁으로 이어질 수도 있고 산업 생태계 전반에 막대한 영향을 미칠 수 있다. 따라서 단독 대응보다는 소재 및 부품 기업을 비롯한 민간과 국가의 공조를 기반으로 공급망 보안 강화 정책 및 투자가 필요하며, 보안 위협 유발 요인에 대한 위험관리 등 선제적인 공급망 보안관리 전략 마련이 필요하다. 공급망 보안 강화의 필요성을 인지하고 전문 인력 양상을 위한 현실적인 대안들을 통해 보다 안전한 공급망을 형성, 빈틈없는 ICT 인프라 생태계로의 발전을 기대해본다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지