국내 최초 ‘공격자 관점의 서드파티 솔루션 취약점 프로파일링’ 보고서
[아이티데일리] 금융보안원(원장 김철웅)은 해커의 관점으로 수행하는 모의해킹 점검을 통해 서드파티(3rd Party) 솔루션 기반의 공급망 공격 기법과 방어 대책을 심층 분석한 ‘레드아이리스 인사이트 리포트 : Campaign ThirdEye’를 발간했다고 6일 밝혔다.
공급망 공격은 정상적인 서드파티 솔루션을 악용해 공격을 수행하기 때문에 탐지 및 차단이 어렵다. 솔루션이 많아질수록 공격할 대상이 많아져 침투 위협이 커진다. 서트파티 솔루션이란 특정 기능을 지원하기 위한 소프트웨어를 지칭하며, 메일·그룹웨어 등 업무에 사용되는 업무용 솔루션과 네트워크 관리·서버 관리 등 보안 업무에 사용되는 보안 솔루션 등이 있다.
다년간의 금융권 모의해킹과 국내·외 해킹 대회 수상 경력의 최정예 화이트해커로 구성된 금융보안원 레드 아이리스(RED IRIS) 팀은 공격자 관점에서 초기 침투 및 취약점을 이용한 후속 공격까지, 일련의 과정을 점검한 내용을 리포트에 상세히 담았다.
대표적인 취약점인 △숨겨진 파일 업로드 기능 악용 △에디터를 통한 업로드 취약점 △조작된 패킷을 통한 임의 명령 실행 등을 포함해 서드파티 솔루션 유형별로 취약점을 분석했다. 또한 AI를 통해 재구성한 데이터를 바탕으로, 방어자들이 취약할 수 있는 부분을 공격하는 주요 공격 시나리오 3가지가 포함된 가상의 캠페인 ‘서드아이(ThirdEye)’를 수행했다. 이를 통해 솔루션을 활용한 공격 기술·절차·전략(TTP)과 대응 방안 및 핵심 조치 사항에 대해 자세히 안내한다.
금융보안원 김철웅 원장은“업무에 편리함을 주기 위해 도입한 솔루션이 양날의 검이 돼 공격자에게도 편리함을 줄 수 있다는 점을 반드시 기억하고, 서드파티 솔루션 보안에 각별히 주의를 기울여야 한다”면 “앞으로도 금융보안원은 CVE 발급기관(CNA)으로서 금융권의 취약점 발견부터 관리까지, 공급망 공격 전 과정에 걸쳐 효율적으로 대응할 수 있도록 적극적인 역할을 수행하겠다”고 밝혔다.