주요 소프트웨어(SW) 개발 단계에 악성코드를 몰래 숨기는 '공급망 공격(Supply Chain Attack)' 주의보가 내렸다.
한국인터넷진흥원(KISA 원장 백기승)은 최근 국내 SW 개발사를 대상으로 제작 단계에서 설치 파일 변조 침해사고가 확인돼 주의를 당부했다. 해당 SW를 설치한 기업을 노린 공급망 공격이다. 공급망 공격이란 기업이나 기관에 SW나 하드웨어(HW)를 공급하는 과정에 침투해 제품을 악의적으로 변조하거나 내부에 악성코드를 숨기는 형태다.
카스퍼스키랩은 최근 세계 수백 개 대기업이 사용하는 넷사랑 서버 관리 SW에 백도어가 설치된 것을 발견했다. 백도어는 공격자가 추가로 악성모듈을 다운로드하거나 데이터를 훔치는 데 쓰인다. 해당 서버 관리 SW는 금융, 교육, 통신, 제조, 에너지, 교통 등 다양한 고객이 사용 중이었다. 카스퍼스키랩 조사 결과 해당 SW 최신 버전 내부에 악성 모듈이 숨겨져 있었다. 감염된 SW 업데이트가 설치된 후 악성모듈이 명령&제어(C&C) 서버 특정 도메인으로 8시간에 한 번씩 감염된 시스템 정보를 보냈다. 해커 지시에 따라 백도어 플랫폼이 악성코드를 추가로 다운로드할 수 있었다. 랜섬웨어 등을 내려 보냈다면 세계 서버에 저장된 내용이 암호화되는 대형 사건이 될 가능성이 컸다.
공격자는 SW 빌드단계와 관련된 서버를 해킹 한 후 악성코드를 삽입했다. 개발사가 제품을 패키징(컴파일)할 때 정상 파일에 악성모듈이 들어가 배포됐다.
KISA는 국내 SW개발사에 개발환경 내부 보안 강화를 주문했다. SW개발 과정과 관련된 개발자PC, 빌드서버, 형상관리(SVN) 서버 등 시스템에서 원격관리프로그램 접속 이력을 점검해야 한다. 원격데스크톱과 팀뷰어 등이 불필요할 때는 삭제하고 서비스를 중지한다.
비밀번호 관리 강화도 시급하다. 개발사는 공용 비밀번호를 사용하지 않는다. 주기적으로 비밀번호를 변경하고 유추가 어려운 형태로 만든다. 개발환경은 외부와 인터넷을 차단해 운영한다.
공급망 공격은 여파가 크다. 2013년 미국 유통회사 타깃(Target)을 비롯해 홈디포 고객 정보 유출사고 역시 공급망공격이었다.
임종인 고려대 정보보호대학원 교수는 “공급망 보안 필요성은 이미 걸프전 이후 인식됐다”면서 “당시 미국은 이라크에 수출하는 프린터에 NSA가 개발한 악성코드를 숨겼다”고 말했다. 그는 “SW와 HW를 도입하는 기관이나 기업은 공급망 보안에 신경 써야 한다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com