2020년 12월 8일(현지 시각), 사이버 보안 기업 파이어아이(FireEye)가 경고 내용만큼 충격적인 소식을 발표했다. 교묘한 수법을 동원한 해커 세력이 아무런 경고 조짐 없이 소프트웨어 공급사 네트워크에 잠입하고는 실패 위험성을 의도적으로 피할 공격 수법을 구성해 기업 내부의 방어 프로그램을 우회했다. 바로 지금은 솔라윈즈(SolarWinds) 해킹 사태라는 이름으로 알려진 연속적인 위협이 발생하도록 한 사이버 공격이다. 솔라윈즈 해킹은 무수히 많은 피해 기관의 보안 침해라는 결과로 이어진 러시아 주도 감시 공격 사태이다.
솔라윈즈 해킹 사태가 사이버 보안 경각심을 일깨웠다는 주장은 실제 문제의 심각성을 과소평가한 발언이라고 할 수 있다. 해커 세력이 널리 활용되는 소프트웨어를 공격 시발점으로 삼아 보안 공격을 개시하고, 그 결과 해당 소프트웨어를 사용하는 모든 이가 공격에 감염되도록 할 때, 이른바 공급망 공격의 파장이 얼마나 광범위한지 드러냈기 때문이다. 솔라윈즈 사태는 러시아 정보기관이 솔라윈즈 공급사 1만 8,000여 곳에 피해를 줄 수도 있었다. 결과적으로 솔라윈즈 해킹 사태로 마이크로소프트 등 포춘 500대 기업과 미국 법무부, 국무부, 미국 항공우주국(NASA) 등 네트워크 보안 침해 대상이 된 기관은 100곳 미만이다.
공급망 공격은 솔라윈즈 사태 이전에도 발생했다. 하지만, 솔라윈즈 사태 위기 수준은 문제의 심각성을 일깨울 중대한 인식을 제기하면서 테크 업계와 미국 정부 전반에 걸쳐 1년간 서둘러 보안 향상 투자가 이루어지도록 자극을 주었다.
솔라윈즈 회장 겸 CEO인 수드하카 라마크리슈나(Sudhakar Ramakrishna)는 “2021년 12월 12일까지 문제 보고가 없다면, 공급망 공격 이후 보안 강화 투자가 성공했다고 판단할 수 있다”라고 말했다. 그러나 그로부터 1년 전, 솔라윈즈는 자체 개발한 IT 관리 툴인 오리온(Orion)이 파이어아이의 보안 침해 시발점이었으며, 궁극적으로는 대규모 공급망 공격 시발점이 수십 가지 더 존재할 것이라는 점을 알게 되었다. 라마크리슈나는 솔라윈즈 공격 사태 당시 솔라윈즈에서 근무하지 않았으며, 2021년 1월 4일 자로 솔라윈즈에 합류했다.
2021년 12월, 솔라윈즈 해킹 사태 피해를 연속 발견한 지 1년이 되었으나 실제 해킹 사건이 발생한 시점은 2020년 3월로 거슬러 올라간다. 코지베어(Cozy Bear), UNC2452, 노벨륨(Nobelium) 등이라는 명칭으로도 알려진 러시아 해커 조직 APT 29는 수개월에 걸쳐 해킹 공격 개시 전 필요한 부분을 준비했다. 그러나 실제 해커 세력의 솔라윈즈 사태 공격 준비 시작 시점에 대한 이견 자체가 소프트웨어 공급망 위협의 특성을 설명한다. 공급망 공격의 치밀한 준비가 먼저 이루어져야 한다. 만약, 준비 단계를 성공적으로 거친다면, 공격 개시 단계로 전환함과 동시에 다수 피해자 네트워크에 즉시 접근할 수 있다. 모두 합법적인 것처럼 보이는 신뢰할 수 있는 소프트웨어를 이용해 피해자 네트워크에 피해를 준다.
“솔라윈즈 사태 이후 밤낮없이 순식간에 보안 인식과 조치 전환이 이루어졌다.”
댄 로렌스, 체인가드
보안 업계 전반에 걸쳐 수많은 전문가가 와이어드와의 인터뷰에서 밝힌 바에 따르면, 오리온을 통해 백도어 멀웨어가 유포된 후 ‘선버스트(Sunburst)’ 해킹이라는 이름으로도 알려진 솔라윈즈 해킹이 소프트웨어의 출처와 통합 투명성, 심층 분석 필요성 이해 수준을 확대하는 의미 있는 역할을 하기도 했다. 컴퓨터 정리 툴 CCleaner 보안 침해와 우크라이나 회계 소프트웨어 MEDoc을 통해 심각한 피해를 일으킨 것으로 알려진 러시아의 악명 높은 낫페트야(NotPetya) 멀웨어 등 2020년 12월 솔라윈즈 사태가 알려지기 전에도 심각한 피해를 일으킨 공급망 공격이 발생했다는 점은 확실하다. 다만, 솔라윈즈 해킹 사태는 미국 정부와 테크 업계에는 다른 사건보다 유독 자국과 가까운 곳에서 발생했다.
[사진=Pixabay]
구글 클라우드 인프라스트럭처 부사장인 에릭 브루어(Eric Brewer)는 “솔라윈즈 해킹 사태가 공급망 공격의 심각성을 일깨우는 전환점이 되었다는 사실은 분명하다. 테크 업계가 공급망 공격 측면에서 다루기 어려운 당면 과제가 있다고 설명하기 전, 문제를 해결하기 위해 노력해야 한다. 많은 이들이 공급망 공격 위협 문제를 다루어야 한다고 어느 정도 이해하는 듯하나 최우선 작업이라는 인식은 부족하다. 개인을 직접 겨냥했다는 확실한 공격 사례가 보고되지 않았다. 그러나 솔라윈즈 사태 이후 공급망 공격 위협의 심각성이라는 메시지가 다른 방식으로 생성됐다.
공급망 공격 위협 대응이 필요하다는 인식은 식품 성분 목록을 제공하는 것과 같은 방식과 더 나은 코드 관찰 수준을 갖추는 방식으로 소프트웨어를 구축하는 방법을 포함한 행동 전환으로 이어졌다. 그러나 문제 해결 작업 속도가 느리다. 공급망 문제에는 소프트웨어 개발 유형만큼 많은 해결책이 필요하기 때문이다.
MEDoc, 오리온과 같은 등록 시스템을 계속 주시하는 일이 어려운 이유는 경쟁이 치열한 기밀이나 지식재산 노출 없이 여러 보안 툴의 투명성과 검증 수준을 키워야 하기 때문이다. 특히, 대다수 개발자가 종종 자발적으로 참여하며, 프로젝트 자금 지원이 안정적이지 않은 오픈소스 소프트웨어는 문제가 더 복잡하다. 안정적인 투자금 확보 과정을 거쳐도 문제가 복잡한 것은 마찬가지이다. 최우선 문제는 개발자가 종종 유용한 오픈소스 코드 구문 목적을 변경한다. 결과적으로 오픈소스 툴 보안을 침해하는 공급망 공격이 원격 시스템에 악성 프로그램 업데이트를 개시할 수 있다. 혹은 악성 프로그램에 감염된 코드가 온라인에 마구 퍼지면서 별도의 점검 과정 없이 다른 소프트웨어도 악성 프로그램 감염이 발생하도록 마구 끌어당길 수 있다.
2021년 5월 자로 시행된 행정 명령은 공급망 공격 문제 처리를 위한 한 가지 현실적인 조짐이었다. 바이든 행정부는 정부 사이버 보안 문제를 수많은 측면에서 해결하고자 하면서 공급망 보안에 특별한 노력을 기울였다. 백악관은 연방 기관에 보안 수준 강화 가이드라인 작성과 보안 평가, 보안 개선 조치 시행 요구사항을 상세히 기술했다.
행정 명령 공식 발표문에는 “상용화 소프트웨어 개발 과정은 종종 투명성과 소프트웨어의 공격 방어 능력을 갖추기 충분한 수준의 집중, 사이버 공격 세력의 개입 방어를 위한 충분한 통제 작업 등이 부족하다. 소프트웨어 제품 기능이 의도한 대로 안전하게 작동한다는 사실을 보장하고자 더 엄격하면서 예측할 수 있는 조처가 필요하다는 압박을 받고 있다”라고 명시됐다.
미국 정부는 실제 사이버 보안 취약점 수정 시 따를 기록 추적 확보 수준이 열악하다. 그러나 오랫동안 공급망 보안 연구원으로 활동한 스타트업 체인가드(Chainguard) CEO인 댄 로렌스(Dan Lorenc)는 여러 연방 기관이 백악관에서 정한 보안 강화 기한을 실제로 준수한 점에 기쁘면서도 놀라웠다고 밝혔다. 연방 기관이 백악관의 행정 명령을 준수한 것은 소프트웨어 공급망 보안을 갑자기 이해하게 된 상황이 어느 정도 오래 지속될 것을 나타내는 초기 조짐일 수도 있다.
국토안보부 사이버 보안 인프라 보안국(CISA) 수석 고문 겸 전략가인 알란 프리드만(Allan Friedman)은 “백악관이 보안 강화 기한을 매우 엄격하게 정한 듯하다. 민간 부문과 정부 기관 모두 백악관의 기한 요구사항에 만족하지 않는다. 다만, 사이버 보안이 최우선 순위라는 점이 분명해졌으며, 그 때문에 연방 기관도 백악관이 정한 기한을 지킬 수 있게 되었다고 본다. 또한, 광범위한 소프트웨어 커뮤니티에서 행정부 전체가 사이버 보안 문제를 매우 심각하게 생각한다는 사실을 이해하게 되었다”라고 설명했다.
연방 소프트웨어 공급망 보안 계획도 공공 부문과 민간 부문 협력에 주로 초점을 둔다. 2021년 8월 말, 테크 업계 주요 기업이 참석함과 동시에 진행된 백악관 사이버 보안 회의에서 구글은 5년간 보안 부문에 100억 달러를 투자하면서 소프트웨어 공급망을 최우선 순위로 두고 집중할 계획이라고 발표했다. 그 예시로 브루어 사장과 구글 클라우드 인프라스트럭처팀 인력이 지난 몇 년간 개발자의 오픈소스 소프트웨어 잠재적 위험성 평가를 지원하는 점수판 프레임워크인 오픈소스SSF 프로젝트 작업을 이어온 사실을 언급할 수 있다. 마이크로소프트 자회사인 깃허브(GitHub) 등 다른 여러 기업의 보안 계획은 오픈소스 프로젝트의 보안 취약점과 다른 약점을 자동 감지하고자 한다. 2021년 6월 자로 출시된 탈중앙화 프로젝트 시그스토어(Sigstore)는 오픈소스 프로젝트의 간단한 코드 서명 지원 작업을 진행한다. 코드 서명은 재산 오픈소스 프로젝트가 종종 생략하는 재산 소프트웨어 무결성 점검을 위한 중요한 요소이다. 또한, 구글 연구팀은 SLSA(‘살사’라고 발음한다)라는 이름으로 알려진 개발자용 소프트웨어 공급망 무결성 프레임워크를 생성했다.
과거, 구글에 재직할 당시 시그스토어, SLSA 작업에 참여했던 로렌스는 “2021년은 공급망 보안 측면에서 매우 정신없는 한 해였다. 솔라윈즈 사태 이후 밤낮없이 순식간에 보안 인식과 조치 전환이 이루어졌다. 2020년 12월과 2021년 1월에는 중요한 경각심을 일깨우게 되었으며, 보안 강화를 위해 무엇이든 대응책을 찾고자 한 모든 이가 매우 심각한 공포에 빠졌다. 그러나 결과적으로 아무도 공급망 보안에 주의를 기울이지 않은 때보다 상황이 더 나아졌다”라고 말했다.
CISA는 2018년 프로젝트를 소프트웨어 재료 설명서(SBOMs) 개발과 대중화를 위해 확장하고자 했다. SBOMs는 완제품 구성 요소 심층 분석과 전체 목록, 결과적으로 발생할 수 있는 잠재적 위험성 등을 제공하는 소프트웨어용 ‘영양 정보’를 생성하는 것이다. 바이든 행정부의 5월 행정 명령은 특히 미국 표준기술 연구소(NIST)의 SBOMs 지침 개발을 의무화한다.
2021년 12월 15일(현지 시각), CISA는 공공 부문과 민간 부문의 수월한 SBOMs 개발 협력 지원 노력의 일부 과정으로 ‘SBOM-a-rama’ 행사를 주관한다.
프리드만은 “’SBOM-a-rama’는 가장 기본적으로 사이버 보안 강화를 위해 할 수 있는 일을 고민하도록 하는 사이버보안 101(Cybersecurity 101)이라고 할 수 있다. 소프트웨어 보안을 생각해보자면, 일반적으로 즉각 드러나지 않는 사실을 파악할 정보가 충분하지 않다. 다만, 여러 기관과 스타트업이 최대한 정보를 수집할 툴을 개발하는 추세이다”라고 설명했다.
솔라윈즈 CEO 라마크리슈나는 2021년, 솔라윈즈가 자체적으로 대규모 보안 쇄신 작업을 진행하면서 내부 보안 접근 방식 변경과 협력사 및 고객사와의 상호 연결 재평가, 최선의 소프트웨어 공급망 보안 지원 조치 단계를 거쳤다. 특히, 오픈소스를 솔라윈즈 자체 공급망 투명성과 융통성 추가 방안으로 적극적으로 받아들였다.
업계 전반에 걸쳐 공급망 투명성 강화 계획과 향상을 이루더라도 소프트웨어 공급망의 불안정성은 여전히 매우 현실적이면서도 현재 진행 중인 문제이다. 예를 들어, 2021년 봄, 소프트웨어 기업 코드코브(Codecov)의 소프트웨어 개발 툴을 공격한 보안 침해는 코드코브 고객사 수백 곳에 피해를 주었다. 또, 2021년 7월 발생한 서비스 공급사 카세야(Kaseya)의 IT 해킹은 수많은 랜섬웨어 공격을 일으켰다. 최근 수년간 수많은 오픈소스 프로젝트 보안 침해 피해가 발생했다.
한편, 솔라윈즈 공격을 개시한 노벨륨은 솔라윈즈 해킹 피해에만 의존하지 않았다. 계속 미국을 포함한 세계 각지의 유명 기업과 정부 기관, 비영리단체를 감시 공격 표적으로 삼았다. 2021년 내내 치명적인 피싱 공격과 각종 사이버 공격을 개시해 기밀 정보 탈취와 이메일 계정 및 다른 시스템 무단 접근, 판매 중개 기업과 클라우드 맞춤형 서비스 공급사 공격과 같은 행위를 범했다. 테크 업계의 다른 공급망 보안까지 침해하려는 의도였다.
마이크로소프트 보안, 규정 준수 및 신원 기업 부사장인 바수 자칼(Vasu Jakkal)은 와이어드에 보낸 공식 성명을 통해 “지난 1년을 돌아보았을 때, 노벨륨이 광범위한 영역에 걸쳐 개시한 공격의 심각성을 과장하기도 어렵다. 2021년은 기술이 방어 툴이 되는 동시에 사이버 공격 무기가 된 방식을 계산하여 설명하는 해가 되었다”라고 말했다.
지난 1년간 진행된 모든 보안 강화 과정을 보았을 때, 소프트웨어 공급망 보안 전문가 다수는 지금도 공급망 공격 위험성과 공격 노출 문제가 매우 현실적인 문제이며, 한 가지 해결책만으로는 해결할 수 없다고 입을 모아 강조한다.
사이버 보안 기업 맨디언트(Mandiant) 최고 기술 관리자이자 전무인 찰스 카마칼(Charles Carmakal)은 “솔라윈즈 사태와 같은 공급망 공격은 언제든지 다시 발생할 수 있다. 또한, 지금도 어디선가 공급망 공격이 진행 중일 수도 있다. 상황을 마냥 부정적으로만 분석하지 않고 올해의 공급망 보안 강화 노력을 칭찬하고 싶다. 그러나 여전히 피해를 낳는 결과로 이어질 공격 표적의 보안 침해 문제가 심각한 상황이다”라고 경고했다.
하지만, 수십 년간 공급망 보안 중요성을 간과했다. 적어도 공급망 보안 관리를 담당하는 이들이 마침내 공급망 위협에 주목하기 시작했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202112/3595_4707_86.jpg)
뉴스레터 신청