01. 대규모 사이버 공격의 원인, 공급망 공격
융·복합 첨단기술의 고도화는 경제·사회 구조의 전환을 가속화하면서 오늘날 산업 패러다임 전반에 큰 영향을 끼쳤다. 특히 생산자 중심에서 소비자 중심으로 공급망 가치 사슬이 재편됨에 따라, 공급망 구조가 사용자의 다양한 요구사항을 반영할 수 있도록 제조 공정간의 연계성을 강화하는 방향으로 변화했다. 그리고 이와 같은 유기적 연계의 핵심은, 공급자(Supplier)가 제품이나 서비스를 소비자(Consumer)에게 전달하는 프로세스를 구성하는 조직, 인력, 자원 등의 구성 요소와 공급망 아키텍처에 대한 이해가 다시금 필요하다는 데 있다.
다시 말해 기존에는 요구 사항 분석을 토대로 하드웨어나 소프트웨어를 설계(Raw Material)하여 제조업체나 개발업체가 구현한 산출물을 소비자(Customer, Consumer)에게 배포(Distribution)하는 것이 일반적인 공급망 관리 프로세스였으나, 최근 그 프로세스에 ICT기술이 접목되면서 공급망의 자동화(Automation), 오케스트레이션(Orchestration), 제어(Control), 관리(Management)를 통해 비즈니스 유연성을 확보하고 생산성을 향상시키는 등 전반적인 가치를 극대화하고 있다.
그러나 문제는 이와 같은 긍정적인 효과에도 불구하고 인공지능, 빅데이터, 클라우드, IoT, IIoT 등 융합 기술의 확대가 공격 표면 증가로 이어지게 되면서 새로운 위협 요소로도 작용한다는 점이다.
공격 표면의 확대는 공급망을 구성하는 하드웨어나 소프트웨어의 위∙변조 행위인 공급망 공격(Supply Chain Attack)을 유발하게 된다. 하드웨어나 소프트웨어 기반의 1차 공급망(Primary Production)에서 최종 소비자(Program Office)에 이르기까지 공급망을 구성하는 하드웨어, 소프트웨어, 펌웨어, 데이터는 악의적인 공격(Malicious Insertion)의 대상이 되어 정상파일이나 프로세스의 교체 및 유입으로 인해 기밀성과 무결성이 훼손되고, 최종적으론 제품이나 서비스의 가용성에도 영향을 미치게 된다.
공급망 공격은 공급망을 구성하는 프로세스 전반에서 발생되며 이전 단계에서 유입된 공격코드 및 스파이칩이 다음 단계의 하드웨어나 소프트웨어에도 연쇄적으로 영향을 미치기 때문에 더욱더 위협적이다. 예를 들어 무결성이 확보되지 않은 위조부품이나 모듈, 라이브러리 등이 제품 초기 단계에서 포함되면 해당 부품이나 모듈을 사용하는 2차 산출물에 악영향을 미치게 된다. 이는 언뜻 단순히 특정 제품이나 서비스를 타깃으로 하는 공격으로 보여져도, 궁극적으론 스마트시티, 자율주행, 스마트팩토리와 같이 ICT산업 전반이 잠재적인 공격 대상이 될 수 있음을 의미한다.
[그림 2] 공급망 공격 프레임워크 (출처: MITRE : Supply Chain Attack Framework and Attack Patterns 내 Point of Attack 일부 재구성)
MITRE에서 발표한 ‘공급망 공격 프레임워크 및 공격 패턴(Supply Chain Attack Framework and Attack Patterns)’에 따르면, 공급망 공격의 발생 지점은 크게 물리적 측면(Physical Flow)과 정보 및 데이터 측면(Information and Data Flow)으로 나뉜다. 물리적 측면에서는 제품 제조 공정이나 패키징 과정에서 의도하지 않은 부품이나 기능이 포함될 수 있으며, 정보 및 데이터 측면에서는 공급망을 구성하고 있는 CI/CD 인프라 취약점, 분산 운영환경, 접근제어 미흡 등으로 데이터 유출이나 주요 시스템 파괴 등의 공격이 발생할 수 있다. 이렇듯 발생 가능한 공급망 공격의 범위가 매우 다양한 바, 실제 공격 사례 분석을 통해 공격 유형별 위협 요소 및 대응 방안을 살펴보고 공급망 환경에서의 효과적인 위험관리 전략을 모색해보고자 한다.
02. 공급망 사고 사례 분석을 통한 공격 유형 분석
2017년부터 최근 5년간 발생한 공급망 공격 사례를 살펴보면, 크게 하드웨어 기반과 소프트웨어 기반으로 분류해볼 수 있다.
가장 먼저 하드웨어 기반 공급망 공격의 경우 IC칩, PCB, 펌웨어 등을 대상으로 △하드웨어 트로이 공격(HT, Hardware Trojan), △부채널 공격(SCA, Side Channel Attack), △FPGA(Field-Programmable Gate Array)공격 등을 일으켜 하드웨어 디바이스의 논리적 결함을 유발하고 궁극적으론 정보 유출이나 시스템 파괴를 가져온다. 특히 초기 제작 후 프로그래밍이 가능한 반도체 FPGA는 하드웨어와 소프트웨어의 장점이 결합되어 항공장비, 자동차, 의료장비, 통신장비 등 다양한 분야에서 활용되고 있지만, 공급망 공격에 악용되는 경우도 적지 않다. 프로그래밍이 가능하기 때문에 FPGA 제조 프로세스 과정에서 설계자가 의도하지 않은 기능을 포함하거나, 하드웨어 트로이 공격과 결합되어 특정 조건을 충족하면 트리거가 구동, 공격자가 설정한 악의적인 작업을 실행하기도 한다.
2019년에 발생한 스랭그리캣(Thrangrycat)과 스타블리드(Starbleed)는 하드웨어 기반의 공급망 공격 중에서도 FPGA상의 논리적 결함으로 인한 취약점이다. 우선 CVE-2019-1649로 명명되는 스랭그리캣 취약점은 FPGA의 펌웨어 파일인 비트스트림(Bitstream)에서 보안 기능을 담당하는 트러스트 앵커(Trust Anchor Module)의 논리적 결함을 이용해 권한 상승을 유발했으며, 스타블리드 역시 설계상의 결함으로 불법적인 원격 제어가 가능하게끔 했다. 그리고 이러한 취약점들이 FPGA시장에서 상당수를 차지하고 있는 자일링스(Xilinx)와 알테라(Altera)제품에서 발견되어, 그 파급력은 더더욱 컸다.
이보다 앞선 2017년 블룸버그의 보도를 통해 알려진 슈퍼마이크로(Supermicro)의 스파이칩 사건 역시 대표적인 하드웨어 기반 공급망 공격 사례다. 조금 전 언급한 사례들이 FPGA의 논리적 결함을 악용한 사건이라면 슈퍼마이크로 스파이칩 사건은 중국 정보기관에 의해 육안으로 식별하기 어려운 물리적인 스파이칩이 메인보드에 탑재되어, 하드웨어 교체 외에 해결 방안이 없었다는 게 가장 큰 문제였다. 해당 스파이칩 이슈를 제기한 보도 내용의 진위 여부에 대해서는 일부 논쟁이 있기는 했으나, 물리적 칩의 유무나 논리적 결함 발생 시 하드웨어 교체가 가장 확실한 해결 방안이라는 점에서 소프트웨어에 비해 높은 기술 난이도와 시간이 요구돼 상당수의 공급망 공격은 소프트웨어 기반에서 발생되고 있다.
|
연도
|
발생사고
|
공격기법
|
공격대상
|
|
2017
|
보안업체
어베스트(Avast) 서버 공격
|
보안업체
어베스트(Avast)의
씨클리너(CCleaner)의
다운로드 서버 해킹 및 악성파일 배포로 230만명 공격영향
|
SW
|
|
회계관리
소프트웨어
매독(MeDoc) 서버 공격
|
회계관리
소프트웨어 개발 매독(MeDoc)
업데이트
서버 해킹 및 페트야(Petya)
랜섬웨어
배포로 10조원 손실
|
SW
|
|
넷사랑
서버관리
소프트웨어
변조
|
넷사랑
컴퓨터의 빌드서버에 침입하여 변조된 배포패키지를 넷사랑 사용자에게 배포
|
SW
|
|
2018
|
슈퍼마이크로(Supermicro)사
스파이칩
|
서버
제조업체 슈퍼마이크로(Supermicro)사의
메인보드에 중국 정보기관의 스파이칩 탑재
|
HW
|
|
2019
|
아수스(ASUS)
업데이트
서버 공격
|
대만
컴퓨터 제조사 아수스(ASUS)
SW드라이브, 펌웨어
업데이트에 활용되는 라이브 업데이트(Live Update)를 통해 1백만명에게
악성코드 유포
|
SW
|
|
2020
|
솔라윈즈(SolarWinds)
공급망
공격
|
해킹그룹 UNC2452에서
선버스트(SUNBURST)
악성코드를
이용해 솔라윈즈 소프트웨어 업데이트를 통해 배포
미국
국토안보부, MS,
인텔 등
정부부처 및 기업 등을 공격하여 정보유출 등 피해 발생
|
SW
|
|
2021
|
MS 익스체인지
제로데이
취약점
|
MS 익스체인지
서버 취약점(CVE-2021-26855,
CVE-2021-26857, CVE-2021-26858 및
CVE-2021-27065)으로 3만개 이상의 기관 피해발생
|
SW
|
|
코드코브(Codecov)
악성코드
배포
|
소프트웨어를
테스트 하기 위한 테스트코드 제공 플랫폼의 CI/CD 파이프라인을 조작하여
백도어 악성 소프트웨어 배포
|
SW
|
|
콜로니얼
파이프라인
랜섬웨어
감염
|
해킹그룹
다크사이드(DarkSide)에 의한
램섬웨어 감염으로 미국 동남부 지역 휘발유 공급 일시 중단
500만달러(약 57억원)의 몸값을
지불로 바이든 행정부에서는 ‘사이버 보안강화 명령’ 발표
|
SW
|
|
카세야(Kaseya)
랜섬웨어
유포
|
Kaseya
VSA 소프트웨어
제로데이 취약점(CVE-2021-30116)으로
해킹그룹 REvil에 의해
랜섬웨어 유포
|
SW
|
[표 1] 최근 5년간 발생한 공급망 공격 현황 (2017-2021)
물론 그렇다고 해서 소프트웨어 기반의 공급망 공격이 하드웨어 기반 공격에 비해 기술적으로 현저히 쉽거나 그 영향도가 낮은 것은 아니다. 2020년 다수의 정부기관과 민간기업에 파괴적인 영향을 끼친 마이크로소프트의 익스체인지(Microsoft Exchange)서버 취약점과 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 감염, 솔라윈즈(SolarWinds) 공급망 공격 사태는 서드파티 소프트웨어(3rd Party Software)로 인한 공격의 파급력을 인지할 수 있는 대표적인 사례였다. 서드파티 소프트웨어 타깃의 공급망 공격은 △위∙변조 패치 파일 배포, △CI/CD 도구 취약점 공격, △접근제어 우회 등의 공격을 통해 소프트웨어 사용자 다수를 타깃으로 확보할 수 있어 주로 공격 거점 및 공격 경로로 활용되고 있다.
|
구분
|
공격유형
|
공격내역
|
|
HW측면
|
HW 구성요소
(IC칩, PCB, 펌웨어)
|
하드웨어
트로이 공격(HT)
|
공급망
공정과정에서 마이크로칩 등이 포함된 회로(Circuit block)를 이용한 공격기법
|
|
부채널공격(SCA)
|
암호모듈이
포함된 전자장비에서 암호 알고리즘이 수행되는 시점에 중요정보를 획득하는 공격기법
|
|
FPGA공격
|
회로 제작
후 회로수정이 가능한 FPGA의 특성을
이용하여 하드웨어 설계자가 의도하지 않은 기능을 삽입 후 특정 조건 충족 시 동작하는 공격기법
|
|
SW측면
|
업데이트
서버
|
위∙변조
패치파일 배포
|
업데이트
서버의 파일 및 명령어 배포 기능을 이용하여 위∙변조된 패치파일(코드, 실행파일, 업데이트파일, 모듈 등)을
배포하여 공격기법
|
|
인프라
구성요소
(CI/CD)
|
CI/CD구성 도구
취약점공격
|
아틀라시안(Atlassian)
이슈관리도구
JIRA의
원격코드실행 및 관리자 포탈 접근 취약점 등을 통한 개발 및 운영망 공격
아틀라시안의
주요공격 취약점 :
CVE-2019-3396, CVE-2019-11581, CVE-2019-14994, CVE-2021-26084
|
|
접근제어
우회
(인증/인가)
|
인증서
탈취
|
탈취한
코드서명인증서로 악성프로그램 인증을 통해 무결성 검증 우회 및 추가공격에 활용
|
|
관리자페이지
노출
|
개발망, 운영망
등에서 관리기능을 제공하는 페이지의 취약점 및 계정정보 유출
|
|
원격접속
프로토콜 접근계정 탈취
|
Telnet,
SSH, FTP, RDP, VPN 등 외부망에서 내부망 접근이 가능한 원격 프로토콜 및 서비스(프로그램)의
접근계정 악용
|
|
인적측면
|
사회공학
(Social Engineering)
|
Spear Phishing, Watering Hole
|
개발자 및
운영자, DBA등 내부
주요시스템에 접근 가능한 사용자에게 이메일, 홈페이지 등의 매체이용 악성코드 유포
공격대상
접근 후 Lateral
Movement, Privilege Escalation등을 통해 주요 시스템
접근 및 악성파일 배포
|
[표 2] 공급망 공격 유형 분류
소프트웨어 기반 공급망 공격 기법을 조금 더 상세히 분석하기 위해 MITRE의 ‘ATT&CK Matrix for Enterprise’를 토대로 매핑해본다면, 해당 공격 프로세스는 크게 4가지 단계로 나눠볼 수 있다. 첫 번째 단계인 공격 대상 선정 및 경로 확보 단계에서는 서드파티 소프트웨어 개발자, 시스템 관리자들을 대상으로 스피어피싱, 워터링홀과 같은 사회공학적 공격 기법을 통해 진입점을 확보하거나 중앙관리형 소프트웨어, VPN, FW 등의 관리자 페이지 노출, 접근 제어 미흡 등을 통해 내부망 또는 개발망의 직·간접적인 접근 경로를 확보한다.
다음 단계에서는 수집된 정보를 토대로 업데이트 서버, 배포 서버, 형성관리 서버 등에 접근하여 악성파일 설치 및 백도어 등의 방식으로 공격을 유지하게 된다. 이후 권한 상승, 자격증명탈취 등으로 권리자 권한을 확보하고 탐지 솔루션 무력화 및 추가 공격 대상에 위·변조된 소스코드, 실행파일, 업데이트 파일, 모듈 등의 패치 파일을 배포하여 시스템 파괴, 내부 시스템 악성 파일 감염 등을 일으킨다. 그리고 마지막 단계에서는 내부 시스템에 배포된 악성 파일들을 이용하여 C&C로 내부 데이터 유출, 시스템 무결성 및 가용성의 손상을 끝으로 공격을 종료하게 된다.
[그림 3] 소프트웨어 기반의 공급망 공격 구성도
소프트웨어 기반의 공급망 공격 중 주로 사용되는 기법은 위·변조 패치파일을 이용한 공격이다. 명령어나 패치 파일의 일괄 적용을 위한 시스템인 중앙관리형 소프트웨어의 업데이트 서버를 타깃으로 발생한 한 공격 사례를 통해 이에 대해 보다 자세히 살펴보도록 하겠다. 일반적으로 망분리된 환경에서는 내부망과 외부망에 개별 업데이트 서버를 두고 패치관리를 수행하게 된다. [그림 4]의 경우에는 공격자가 웹해킹으로 경유지를 감염시킨 후 외부망 업데이트 서버에 접근하여 위·변조된 패치파일을 업로드, 연쇄적으로 내부망 업데이트 서버에까지 해당 파일이 업로드되면서 직접적으로 내부망 서버를 공격하지 않고도 내부망에 존재하는 사용자PC에 악성코드를 유포했다.
[그림 4] 업데이트 서버를 통한 위∙변조 패치파일 배포 공급망 공격 구성도
최근에는 이슈관리, 형성관리, 배포관리를 위한 CI/CD인프라를 공격하는 사례가 꾸준히 증가하는 추세다. [그림 5]는 이슈관리를 목적으로 사용하는 상용 솔루션 아틀라시안(Atlassian)의 원격코드 실행 및 관리자 페이지 접근 등의 취약점을 악용한 공격 사례를 토대로 작성된 공격 구성도이다. 공격자는 이슈관리솔루션의 취약점을 교두보 삼아 웹쉘을 업로드해 직접 접근이 불가했던 개발 서버에 접근하고 악성코드를 설치하여 시스템 권한 탈취 및 백도어를 통한 정보 유출을 성공시켰다.
[그림 5] 이슈관리솔루션 취약점을 이용한 공급망 공격 구성도
이처럼 소프트웨어 기반 공급망 공격은 소프트웨어를 구현하는 소스코드 상의 결함 외에도 통합개발환경(IDE), 오픈소스 기반 개발 도구, 인프라 환경(SVN, GIT) 등 소프트웨어 산출물을 구현하기 위한 개발환경에 영향을 받지 않을 수 없기 때문에 운영환경 보안 수준에 준하는 개발환경의 보안 강화가 요구되며 주기적인 모니터링 체계도 수립되어야 한다. 또 사용자 입력 값 검증 미흡, 보안기능 무력화, 기능 설정상의 오류(Misconfiguration)등 보안 소프트웨어 라이프사이클(Secure Software Development Life Cycle)을 고려한 다각도의 공급망 보안 전략을 마련할 필요가 있다.
03. 체계적인 공급망 보안 강화 방안
2021년 5월 바이든 행정부는 마이크로소프트 익스체인지 서버 취약점과 솔라윈즈 사태를 겪으며 연방정부의 보안강화 대책으로 △사이버 위협정보 공유, △연방정부의 사이버보안 현대화, △소프트웨어 공급망 보안 강화, △소프트웨어 부품표(SBOM, Software Bill of Materials) 명시, △사이버보안 취약성 및 사고대응을 위한 플레이북 표준화 등의 내용을 담고 있는 ‘국가 사이버 보안강화 명령(Executive Order on Improving the Nation’s Cybersecurity, 14028)’을 발표했다. 그리고 이후 CISA와 NIST에서는 후속조치의 일환으로 사이버 공급망 위험관리(C-SCRM, Cyber Supply Chain Risk Management) 프레임워크와 SSDF(Secure Software Development Framework)를 권고하는 등 공급망 생태계 보안의 중요성을 인지하며 이를 강화할 수 있는 활동을 지속하고 있다.
공급망 보안 강화를 위해 가장 중요한 건 부품(하드웨어 및 펌웨어 등을 포함한 소프트웨어)을 제공하는 생산자(Producer)와 소비자(Customer, Consumer)의 관점 별 대응 전략을 수립하는 것이다.
우선 생산자 관점에서는 부품 생산에 참여하고 있는 하드웨어 설계자, 3PIP(Third-party Intellectual Property) 제공자, FPGA 개발자 등에 의한 악의적인 공격코드 삽입 및 로직 구현에 대응하기 위해 하드웨어 보안검증 정책 및 표준과 프로세스를 정립할 필요가 있다. 공급망 보안 아키텍처 설계 시에는 NIST SP800-193에서 제공하는 플랫폼 디바이스의 무결성 검증 보안 매커니즘을 활용해 신뢰성을 확보하고, FPGA의 하드웨어 트로이 공격 발생 가능성을 탐지하는 머신러닝 기법 등의 기술적인 대응도 필요하다. 그뿐만 아니라 역공학과 임의 변조에 대비한 소프트웨어 개발보안(Security by Design)을 위한 조직 운영 및 인프라 구성도 중요하다.
소비자 관점에서는 납품된 부품의 위조부품여부를 판단하고 대응하기 위해 △회피(Avoidance), △탐지(Detection), △경감(Mitigation), △폐기 및 의사소통(Disposition & Communication)의 과정으로 구성된 록히드마틴에서 제시하는 ‘위조부품 발견 프로세스’를 활용해볼 수 있다. 문서를 통한 정품인증여부 판단, 크기나 식별 번호 등의 비교를 통한 탐지, 그리고 위조 부품 발견에 대한 대응까지 소비자는 해당 프로세스에 따라 위조부품으로 인한 피해를 최소화할 수 있다.
|
구분
|
설명
|
대응방안
|
|
HW측면
|
위조부품
보안강화
|
하드웨어
보안검증 정책,
표준,
프로세스
정립
제품
및 부품을 해체하지 않고 원상태를 유지하는 검사방안 모색
마킹
및 도색의 제거 및 균열과 박리여부를 확인 기법 : 솔벤트
마찰 테스트(Solvent
Rub Test), 형광
엑스레이(X-ray
Fluorescence), SAM(Scanning Acoustic Microscopy)
위조부품
발견 시 대응방안 수립(위조부품
분리,
재도입
피해 예방,
법적
책임절차 진행)
|
|
FPGA 보안강화
|
위협모델링을
통한 위협요인 도출
: 하드웨어
설계자,
3PIP 제공자,
FPGA 개발자,
SoC통합자
등 악의적인 기능삽입 가능여부 분석
원격
DPR(Dynamic Partial Reconfiguration) 기능 제한 :
사용자
권한제한,
DPR시도
로깅 및 모니터링
FPGA
테스트
커버리지 강화 :
GA(Genetic Algorithm), SAT(Boolean satisfiability problem)등을
통한 자동화된 테스트 수행
|
|
SW측면
|
사이버
공급망
위험관리
(C-SCRM)체계
수립
|
소프트웨어
개발보안 요구사항 정의
소프트웨어
개발 라이프 사이클(SDLC,
Software Development Life Cycle)내에서 SSDF의
주요역할과 책임 강화
주기적인
보안점검을 위해 데이터 수집 및 프로세스를 통한 공급망 전반에 대한 모니터링 체계 확립
|
|
NIST SP 800 시리즈
|
SP
800-53 R5 : △
프라이버시제어 방식(Privacy
Framework), △
공급망제어,
△
사이버 방어력강화(Cybersecurity
Framework), △
안전한 시스템 설계 지침(Security by Design)을
통한 공급망 환경 사이버 레질리언스 제시
SP
800-161 R2 : 공급망위험관리(SCRM,
Supply Chain Risk Management)강화를 위해 △ 공급망과 사이버 공급망 개념정의,
△
사이버공급망위험관리(C-SCRM)정의,
△
C-SCRM 관리
지침 등 제시
SP
800-171 R2 : 요구사항 및 평가를 위한 SSP(System
Security Plan)를 통해 공급망 내 사이버보안 강화 충족필요
SP
800-193 : FPGA, CPLD(Complex Programmable Logic Device)등의
장치 오류 감지 방법 등 펌웨어 플랫폼 레질리언스 방안제시
|
|
인적측면
|
공급망
보안인식 제고
|
공급망
공격대상이 될 수 있는 하드웨어 및 소프트웨어 제품 및 서비스 공급업체의 공급망 보안교육 수행
하드웨어
및 소프트웨어 보안강화를 위한 전단기관 운영
|
[표 3] 관점별 공급망 공격 대응방안]
공급망 공격은, 타깃이 되는 공급망의 그 특성상 연쇄성과 확장성이 높아 무서운 파급력을 갖는다. 또 현재 대다수의 산업들이 전 세계에 걸쳐 촘촘하게 짜인 글로벌 공급망을 보유하고 있는 만큼, 잠깐의 방심과 작은 빈틈으로 촉발된 공격이 자칫 국가간의 분쟁으로 이어질 수도 있고 산업 생태계 전반에 막대한 영향을 미칠 수 있다. 따라서 단독 대응보다는 소재 및 부품 기업을 비롯한 민간과 국가의 공조를 기반으로 공급망 보안 강화 정책 및 투자가 필요하며 보안 위협 유발 요인에 대한 위험관리 등 선제적인 공급망 보안관리 전략 마련이 필요하다. 공급망 보안 강화의 필요성을 인지하고 전문 인력 양상을 위한 현실적인 대안들을 통해 보다 안전한 공급망을 형성, 빈틈없는 ICT 인프라 생태계로의 발전을 기대해본다.
