[보안칼럼]소프트웨어 공급망 공격 리스크 관리를 위한 제도마련 시급

사상 최악의 해킹 사고로 불리는 지난해 12월 솔라윈즈 사태는 공급망 공격의 심각성과 실질적 대응 논의를 확산시키는 계기가 됐다. 이 사건으로 미국의 상무부·재무부·국토안보부를 비롯한 정부 기관 및 다수의 일류 기업이 피해를 본 것으로 알려졌다. 그야말로 '퍼펙트 스톰'(Perfect Storm)으로, 공급망 공격의 거친 파도가 전 세계에 파장을 일으킨 것이다.

지난 5월 미국의 존 바이든 행정부는 연방정부와 계약하는 소프트웨어(SW) 제조사에 대한 새로운 기준 수립 등 방안을 담은 '사이버보안 향상에 대한 행정명령'에 서명했다. 이를 계기로 미국의 연방정부 기관에 납품하는 모든 SW는 부품표(SBOM; Software Bill of Material)를 제출해야 한다. SW를 구성하는 명세서를 제출하고, 세부 검증을 통한 안정성을 담보함으로써 공급망 공격에 대비하려는 의도다.

SW 공급망 공격은 SW 개발 및 배포에 이르는 모든 라이프사이클에서 발생할 수 있다. 공격자가 공급망 공격을 수행하기 위한 주 방식은 업데이트 서버 가로채기, 코드 서명 훼손 등이 있다. 최근에는 클라우드 오픈소스 코드 사용이 보편화되면서 'GibHub' 등에서 오픈소스 손상을 통한 공급망 공격도 빈번하게 발생한다. 주로 APT 그룹의 소행으로 밝혀지고 있는 Threat Actor는 공급자의 네트워크에 침투하기 위해 악성코드 감염, 무작위 대위 기법, 계정 탐색, 내부자 회유와 물리적인 침입 등 그들의 목표가 성공할 때까지 지속해서 공격을 수행한다는 데 특징이 있다.

최근에도 공급망 공격은 끊이지 않고 발생한다. 클라우드 이메일 보안 서비스를 제공하는 마임캐스트, 세계 2800개 고객사를 보유한 항공운송 관련 IT업체인 SITA, 원격 모니터링 특화 벤더인 카세야 등이 그 제물이 됐다. 그들이 보유한 고객층과 유출된 주요 정보를 놓고 볼 때 정확한 전체 피해를 추산하기가 어려울 정도다. 올해만 놓고 보더라도 현재까지 약 20여 건의 소프트웨어 공급망 공격이 발생해 글로벌 피해 혹은 단위 국가의 지역적인 피해를 입힌 것으로 집계되고 있다. 그나마 외부에 드러나 명확히 공급망 공격으로 판명된 것이 이정도다. 그 기법과 공격 그룹이 명확히 밝혀지지 않았거나 목표가 성공할 때까지 지속해서 현재 진행 중인 다수의 공급망 공격을 상기해야 한다.

우리나라도 사정은 다르지 않다. 지난해 말 국내 다수의 금융권 및 대국민 공공서비스에 활용되는 보안 프로그램에 공급망 공격 시도가 있었고, 올해 7월에는 국내 유수의 VPN 제품 취약점을 활용해 주요 국가기관과 기업에 백도어를 설치한 것으로 밝혀져 충격을 안겼다.

우리나라는 공급망 공격의 배후로 지목되는 다수의 APT 공격 그룹을 보유하고 있는 북한, 중국, 러시아와 가까운 지정학적 위치를 지키고 있으며 아시아태평양 지역에서 사이버 보안 노출 순위가 2위(2020년 VMware-Deloitte's Report)에 달하고 있는 것으로 알려졌다.

세계는 지금 사이버 전쟁 중이다. 공급망 공격에 대비하기 위해 발 빠르게 움직이고 있다. 미국 국토안보부 산하 사이버보안기반시설보안국(CISA)에서는 올해 4월 'Defending Against Software Supply Chain Attacks'라는 가이드라인을 발표했고, 유럽연합(EU) 산하 사이버보안 전문 센터 ENISA는 7월 'ENISA Threat Landscape for Supply Chain Attacks'라는 보고서를 발행, 공급망 공격의 최신 지표 및 그에 따른 대응 방안을 제시했다.

국제표준화기구(ISO)에서도 정보보호경영시스템 인증 ISO27001의 하위 Best Practice인 ISO27002의 세부 컨트롤 프레임워크 4개 항목에 걸쳐 공급망 공격에 대한 대비를 지적하고 있다. 일본도 정부 주도의 'Society 5.0 환경에서의 보안 프레임워크'를 발표했고, 공급망 보안과 관련해서는 단일 기업 단위의 보안 대책만으로는 공급망 보안 보장이 어렵다는 점을 강조했다.

우리나라는 어떠한가. 우리나라는 공공 및 금융기관의 망 분리 규제를 세계에서 가장 빠르게 시행하면서 사이버 보안 위협에 능동적으로 대처하고 있다. 망 분리 규제 아래에서는 최신의 정보통신기술(ICT) 환경에서 데이터와 분석 및 개발 도구가 분리돼 비효율적이라는 지적도 있지만 실제 망 분리는 해커의 직접적인 침입 및 내부 정보의 유출 피해를 최소화할 수 있는 조치로 평가받고 있다. 그러나 망 분리 규제가 SW 공급망 공격에 직접적 대응책이 되지 못하는 것은 자명한 사실이다. 오히려 해커는 망 분리로 직접적 공격이 어려워진 시점에서 이를 우회하는 제3의 경로를 더욱 적극적으로 모색할 수 있다.

빈번하게 발생하는 SW 패치의 전달 및 검증 체계에 대해 살펴보자. 대다수의 보안 관리자는 SW 패치를 이메일로 받는다고 답변한다. 과연 모든 패치를 이메일을 통해 받을 수 있을까. 신뢰 관계로 평가하기에 이메일 환경의 악성코드 검증 외에는 SW 패치에 대한 별다른 검증 시스템도 갖추고 있지 않음을 실토하는 것이다.

이제 SW 공급망 공격을 가끔 뉴스의 1면을 장식하는 가십거리로 치부하기에는 우리 곁에 늘 존재하는, 간과할 수 없는 위협으로 자리 잡고 있다. 우리나라도 관계 부처 및 사이버보안 관련 기관 중심으로 점점 지능화되는 SW 공급망 공격에 대한 현실적 대응을 위한 제도 마련 및 가이드라인 제정이 시급하다. 목이 마른 후에야 허둥지둥 우물을 파는 어리석음을 저지르지 말아야 할 것이다.

배환국 소프트캠프 대표 hkbae@softcamp.co.kr