사이버보안 전문 조사 기관 '사이버시큐리티 벤쳐스'는 소프트웨어(SW) 공급망 공격으로 2025년까지 세계 기업이 감당해야 할 손실 비용이 약 80조원에 이를 것으로 예측했다. SW 공급망 공격은 기존의 사이버 위협과 밀접한 연관성을 가지는 것으로 나타났다.
먼저 클라우드가 공격 표면으로 부상하면서 클라우드 기반 SW에 대한 공급망 공격이 증가하고 있다는 점이다. 자동화와 애플리케이션 프로그램 인터페이스(API)의 상호작용으로 이뤄진 클라우드 매직이 공격자에게도 그대로 실현되는 것이다. 클라우드 보안 전문 기업 시스디그는 공격자가 자격증명의 검색 후 불과 10분 만에 공격이 시작된다고 밝혔다. 인증관리 전문기업 옥타와 싱글사인온 전문기업 점프클라우드에 대한 침해가 대표적인 클라우드 기반 SW공급망 공격이다.
둘째, 이제 공격자는 SW공급망 공격에 랜섬웨어 공격을 더하고 있다. 파일전송 프로그램인 무브잇 공급망 공격은 지난해 단일 공격으로 가장 큰 피해를 낸 것으로 기록되고 있다. 이들은 완전히 장악한 파일전송 SW를 통해 여러 기업·기관으로부터 대량의 데이터를 탈취할 수 있었다. 그리고 최종 목표인 몸값 지불을 요구하기 시작했다. 현재까지 약 2700개 조직의 8400만명에게 영향을 미친 것으로 드러나고 있다.
셋째, 비즈니스 사칭메일로 일컬어지는 BEC(Business Email Compromise) 공격기법을 SW공급망 공격의 전초 기술로 활용한 사례의 등장이다. 지난해 12월 이스라엘의 국립사이버국은 네트워크 장비의 제로데이 취약점에 대한 경고를 가장하는 이메일을 경고했다. 피싱 메일에서는 '네트워크가 침해되기 전에 빨리 보안 업데이트를 다운로드하고 설치'할 것을 촉구한다. 공급업체의 이메일 계정을 손상한 이후, 합법적인 계정을 갖춘 피싱공격을 VEC(Vendor Email Compromise)라고 한다. 알려진 도메인과 더불어 믿을 수 있는 콘텐츠를 사용하기 때문에 희생자들은 이것이 사기 메일임을 발견하기가 더 어렵게 된다.
마지막으로 다크웹에서 암약하고 있는 초기 액세스 브로커(IAB·Initial Access Broker)가 SW공급망 공격자들에게도 주목받고 있다는 사실이다. IAB 판매자 수가 전년 대비 2배 증가한 만큼 판매가격도 하락하고 있다. 이 때문에 그들은 일반적인 네트워크 액세스보다 더 높은 가치를 가진 새로운 목표에 집중하고 있다. 코드사인 인증서가 대표적이다. SW 신뢰성과 무결성을 확인하는 코드사인 인증서는 공급망 공격자에게 매력적인 표적이 된다. 도난 또는 위조된 인증서를 사용해 악성코드가 담긴 SW를 합법적인 제품으로 보이도록 할 수 있기 때문이다.
지난해 북한의 SW공급망 공격은 그 공격 횟수와 기법 측면에서 단연 두각을 보였다. 우리나라에서도 대국민 공공서비스 등 이용을 위해 필수적으로 설치되는 보안 인증 SW를 대상으로 한 공급망 공격 정황이 몇 차례 발견됐기에 각별한 주의가 요구된다.
SW 자재명세서(SBOM)는 SW공급망 보안의 시작점이자 이해관계자가 상호 소통할 수 있는 기본 프로토콜이다. 또 수요자와 공급사가 무작정 신뢰하는 것이 아닌 증거 기반의 신뢰를 제공하는 메타데이터로 작용한다.
무조건 신뢰하지 말고 항상 검증하라는 제로 트러스트의 핵심 사상은 SW공급망 보안 대응에서도 그대로 실천해야 할 것이다. 개발사와 수요기업 등 SW생명주기상에 있는 모든 이해관계자가 전면적으로 나설 때 SW공급망 공격이라는 사이버전에서 승리할 수 있다.
전익찬 레드펜소프트 부대표 ikchan@redpensoft.com