Breaking
사이버 보안(Cybersecurity)
공급망, 해커들의 표적으로 부상…공급망 사이버 공격에 대한 이해 필요
2019-05-28 17:30:13
유수연
▲공급망은 기업과 이해 당사자들이 관련된 흐름이다(사진=ⓒ픽사베이)

[라이헨바흐=유수연 기자] 공급망을 노린 사이버 공격이 기업 뿐만 아니라 소비자에게도 심각한 피해를 일으키고 있다.

공급망이란 기업과 이해당사자가 참여하고 있는 일종의 흐름이다. 이러한 공급망은 소프트웨어에서부터 정부 기관, 금융 부문을 포함한 모든 산업에 존재한다.

이처럼 이해당사자들이 모두 상호연결돼 있어서 공격자들은 공급망 파트너를 이용해 방어 체계를 우회한 후 침투해 시스템을 취약하게 만들고 공격을 퍼붓는다.

기업은 보통 상호연결된 판매자 체인에 상당히 의존하고 있다. 자재는 공급업체로 이동한 후 그곳에서 다시 제조업체로 전달된다. 그 후, 유통업체가 제품을 인수한 후 고객에게 판매해 마침내 제품은 고객의 손으로 들어가는 구조다.

이러한 공급망 내부의 어딘가에 악성소프트웨어가 쉽게 침투해 기본 사업자뿐만 아니라 전체 시스템을 감염시키는 것이다.

공급망 공격

초기 공격 시 공급망의 약점이 기본적인 표적이 된다. 그 후, 감염된 기기가 망 전체에 악성소프트웨어를 퍼트린다. 예를 들어, 사이버 범죄자는 제조업체를 표적으로 삼은 후 악성소프트웨어를 유통업체와 고객, 소비자까지 확산시킬 수 있다.

오랫동안 공급망 공격은 간과됐다. 그러나 범죄자들이 공격 감행 전 조직의 취약점을 샅샅이 찾을 수 있는 시대가 도래하면서 공급망의 보안을 강화하는 것이 중요해졌다. '방어허가법'으로 정부 및 계약업체가 해외 통신사 제품 사용을 금지한 이후, 공급망 위협이 집중을 받게 됐다.

스펙터와 멜트다운 컴퓨터 칩의 결함뿐만 아니라 인텔 칩 플랫폼에 숨겨진 관리 엔진이 문제로 드러나면서 기업이 직면할 수 있는 여러 가지 위험을 볼 수 있게 됐다.

공급망 위협은 올해 사이버보안 동향의 톱5에 속하는 것이었다. 기본적으로 사이버범죄와 사물인터넷(IoT) 공격이 증가세에 있으며 모바일 지불앱 또한 표적이 되고 있다.

사이버 범죄자들이 기업의 방어체계를 무너뜨린 작년년 공급망 공격이 증가되기 시작했다. 따라서 공급망 공격을 이해하는 것이 이러한 잠재적 위협을 해결하는 데 필수 요소인 것이다.

공급망 공격의 유형

공급망 공격의 유형에도 여러 가지가 존재한다. 그러나 해커들이 기술과 버그를 개선하게 되면 새로운 유형이 등장할 수 있기 때문에 현재의 유형도 절대적인 것은 아니다. 그리고 일부 기업의 망 구조는 소프트웨어 업데이트가 오염되는 사건이 유발될 수도 있다.

시스템은 보통 업데이트를 하는 동안 취약해지기 때문에 침투하기 쉬워진다. 그리고 소프트웨어 라이브러리 오염 유형이 있다. 라이브러리나 소프트웨어 개발 키트가 감염되면 이 요소와 같이 개발된 제품의 모든 앱이 공격을 받게 된다.

아울러 공격자들이 가장 자주 표적으로 삼을 수 있는 웹사이트를 발견한 후 감염시키는 워터홀 공격 유형이 있다. 사용자들은 해당 웹사이트를 신뢰하기 때문에 이 사이트에서 자료를 다운로드 받지만 그와 함께 버그도 설치되는 것이다. 이 공격의 사례는 우크라이나와 러시아, 터키, 독일, 불가리아를 공격했던 '배드 래빗' 랜섬웨어 사건이다.

펌웨어 공격은 공급망 위협에서 가장 일반적인 유형이다. 게다가, 펌웨어 기반 악성소프트웨어는 감지하기 어려워 매우 위험하다. 대부분의 위험 요소가 서명된 코드 안에 숨어있고 적법해 보이는 공급망으로부터 시작된다. 디버그 모드와 백도어, 원격 네트워크 채널과 임플란트 모두 적법해 보이는 코드 내에 내장돼 있을 수 있다.

공급망 공격 해결

공급망 공격은 기기의 안전성을 판단하기 위해 펌웨어를 분석할 필요가 있어 상당히 위협적이다. 오늘날 무엇 하나 쉬운 일은 없지만 모든 기관 및 기업, 조직들은 필수 예방조치를 취해야 한다. 기업들은 지속적 임플란트 발견자(PIF)를 통해 펌웨어 안전성을 확인할 수 있다. 이러한 유형의 철저하고 상세한 보안조치만이 공격을 물리칠 수 있는 최선의 방법이다.

신뢰할만하고 업계에서 인정받고 있는 제조업체의 제품을 구입하는 것도 중요하다. 이 방법으로 기업과 소비자를 악성소프트웨어로부터 보호할 순 없지만, 기업과 관련 있는 대상을 알아두는 것도 나쁘지 않다.

미국 국토안전부 과학 및 기술부서(DHS S&T)는 현재 펌웨어 수준에서 기기를 분석하고 있다. 민간기업과 파트너십을 체결한 DHS S&T는 PIF를 제안했다.

사이버 범죄자들은 갈수록 재정적으로 동기 부여받는 공격을 감행하고 있으며 이는 공급망 공격이 그들의 주요 표적이 됐다는 것을 의미한다. 공급망이 다각화되고 있는 추세도 범죄자들의 공격 가능성을 높이는 원인이 되고 있다.

따라서 기업들이 판매자 공급 악성소프트웨어의 위험성과 그로 인한 사건으로 손실될 수 있는 피해 규모를 파악하는 것이 중요하다. 중첩된 보안프로그램과 DHS S&T의 PIF가 보안의 좋은 시작이 될 수 있을 것이다.

DHS S&T는 "PIF 악성소프트웨어 테스트웨어를 사용해 판매시점(PoS) 시스템 및 스마트워치 등을 포함하는 여러 가지 의심 기기를 발견해냈다"고 밝혔다.

▲기기의 안전성을 확인하기 위해, 기기의 철저한 분석이 필요하다(사진=ⓒ픽사베이)
[라이헨바흐=유수연 기자]