소프트웨어 공급망 공격이란 무엇입니까?

2021년에는 코드 커버리지 보고서 및 통계를 생성하는 소프트웨어 테스트 플랫폼인 Codecov가 공급망 공격의 표적이 되었습니다 Docker 업로드 스크립트를 조작한 것입니다. Codecov의 환경은 어떠한 위험 신호도 발생하지 않고 손상되었습니다. Codecov는 IBM, Google, HP, Washington Post, Atlassian, GoDaddy, Procter & Gamble 및 Royal Bank of Canada를 포함하여 29,000개 이상의 기업 고객에게 서비스를 제공하고 있기 때문에 피해는 엄청났습니다. 대규모 침해는 몇 달 동안 감지되지 않은 채 계속되었습니다. 31년 2021월 1일 시작했음에도 불구하고 2021년 XNUMX월 XNUMX일까지 발견되지 않았습니다.

또 다른 악명 높은 사건으로는 유비쿼터스 컴퓨터 청소 도구 CCleaner가 손상되었습니다 한 달 넘게 해커들에 의해 CCleaner를 소유한 Avast는 사용자가 다운로드하는 소프트웨어 업데이트를 악성 코드 백도어로 오염시켰습니다. 수백만 대의 컴퓨터가 노출되었으며, 이번 사건으로 인해 다음과 같은 위협이 강화되었습니다. 소위 디지털 공급망 공격, 신뢰할 수 있고 널리 배포된 소프트웨어가 실제로 감염되었습니다.

제3자 공격 또는 백도어 침해라고도 알려진 공급망 공격은 해커가 해당 조직에 소프트웨어 서비스를 제공하는 제3자 파트너 또는 공급업체를 통해 비즈니스 시스템에 침투할 때 발생합니다. 공격이 발생하는 취약 지점이 소프트웨어 공급망이기 때문에 이를 공급망 공격이라고 합니다. 이러한 유형의 공격은 범위가 매우 방대하고 탐지하기 까다로운 경우가 많습니다. 사이버 범죄자는 종종 이와 같은 소프트웨어 공급망을 표적으로 삼습니다. 한 번의 침해로 동시에 수천 명의 피해자를 손상시킬 수 있기 때문입니다.

이전보다 더 많은 소프트웨어 공급업체와 공급업체가 민감한 데이터에 액세스하게 되면서 지난 몇 년 동안 이러한 공격의 위험이 증가해 왔습니다. 실제로 2021년 소프트웨어 공급망 공격 건수가 전년도 수치에 비해 2021배 증가했다고 주장하는 출처가 많습니다. XNUMX년 XNUMX월 바이든 행정부는 소프트웨어 공급망 공격을 우려 영역으로 지정, 이 문제가 얼마나 중요한지 확인합니다.

 

소프트웨어 공급망 공격 이미지

소프트웨어 공급망 공격에는 어떤 유형이 있나요?

다른 조직에 서비스를 공급하는 모든 소프트웨어 회사는 공급망 소프트웨어 공격의 잠재적인 표적이 됩니다. 전체 공급망에 악성 코드를 확산시키려면 공격에 손상된 소프트웨어 하나만 있으면 됩니다. 해커는 일반적으로 소프트웨어 빌드 또는 업데이트 프로세스에서 악성 코드에 침입하여 숨길 수 있는 보안이 취약한 소프트웨어나 보호되지 않는 네트워크 프로토콜을 찾습니다. 위협 행위자는 공급망 공격을 실행하기 위해 광범위한 기술을 사용할 수 있습니다.

대부분의 경우 공급망 공격은 조직의 소프트웨어 생태계에 제한 없이 액세스하기 위해 합법적인 프로세스 뒤에 숨어 있습니다. 공격자는 일반적으로 공급업체나 소프트웨어 공급업체의 보안 방어에 침투하는 것부터 시작합니다. 이러한 공급업체 중 다수의 열악한 사이버 보안 관행으로 인해 피해자를 직접 공격하는 것보다 일반적으로 더 쉽습니다.

공급망 악성 코드가 공급업체의 소프트웨어 생태계에 주입되면 합법적인 디지털 서명 프로세스에 연결되어야 합니다. 공격자는 종종 소프트웨어 업데이트를 진입점으로 활용하여 소프트웨어 공급망 전체에 악성 코드를 확산시킵니다. 공급망 공격에 사용되는 일반적인 기술은 다음과 같습니다.

손상된 소프트웨어 구축 도구

최신 소프트웨어 애플리케이션을 구축하는 프로세스는 물리적 공급망과 매우 유사합니다. 대부분의 경우 애플리케이션은 다양한 공급업체에서 미리 만들어진 다양한 구성 요소를 사용하여 구축됩니다. 여기에는 독점 코드, 타사 API, 오픈 소스 구성 요소 등이 포함됩니다. 현대적인 애플리케이션을 처음부터 구축하는 것은 불가능합니다. 이것이 바로 대부분의 소프트웨어 개발자가 이러한 다양한 구성 요소를 표준 관행으로 재사용하는 이유입니다.
이러한 플러그 앤 플레이 방식은 개발 프로세스를 가속화하지만 공급망 공격이 가장 큰 보안 취약점의 위험을 초래합니다. 구성 요소 소프트웨어가 어떤 식으로든 손상되면 이 구성 요소를 사용하여 애플리케이션을 구축한 수많은 조직이 공격에 취약해집니다.

손상된 코드 이미지

 

훔친 코드 서명 인증서 또는 훔친 ID를 사용하여 서명된 악성 앱

이러한 유형의 공격에서 해커는 회사의 제품이 합법적이고 안전하다는 것을 확인하는 인증서를 훔칩니다. 이렇게 도난당한 인증서를 이용하면 합법적인 회사의 제품을 사칭하여 악성코드를 유포하는 것이 가능해집니다.

중국 정부의 지원을 받는 해커 그룹 ATP41은 이 공격 방법을 이용해 공급망 공격을 감행한다. 악성 코드가 합법적인 것처럼 보이도록 함으로써(훔친 코드 서명 인증서를 사용하여) 공격하는 시스템의 보안 제어를 통과하여 코드를 얻을 수 있습니다. 이러한 유형의 공격은 특히 탐지하기 어렵습니다.

서명된 악성 앱 공격은 도난 코드 공격과 유사합니다. 이 경우 공격자는 도난당한 앱의 서명된 ID를 사용하여 손상된 소프트웨어를 합법적인 앱으로 위장합니다. 이를 통해 다양한 보안 조치를 통과하여 공격이 발생할 수 있습니다.

하드웨어 또는 펌웨어 구성 요소의 손상된 코드

모든 디지털 장치는 원활하게 작동하기 위해 펌웨어에 의존합니다. 대부분의 경우 이 펌웨어는 다른 회사에서 유지 관리하는 타사 제품입니다. 해커는 펌웨어에 악성 코드를 삽입하여 이러한 펌웨어 구성 요소를 사용하는 디지털 장치의 네트워크나 시스템에 액세스할 수 있습니다. 이러한 유형의 공격은 해당 펌웨어로 구동되는 디지털 장치에 백도어를 생성하여 해커가 정보를 훔치고 더 많은 악성 코드를 설치할 수 있도록 합니다.

사전 설치된 악성코드

해커는 휴대폰, USB(범용 직렬 버스) 카메라, 드라이브 및 기타 장치와 같은 하드웨어 장치에 악성 공급망 악성 코드를 설치하는 경우가 있습니다. 이를 통해 감염된 하드웨어가 사용되는 장치에 연결된 시스템이나 네트워크를 표적으로 삼을 수 있습니다.

예를 들어, USB 드라이브를 사용하여 키로거를 운반한 다음 대형 소매 회사의 시스템으로 이동할 수 있습니다. 이 키로거는 회사 고객의 키 입력을 기록하는 데 사용될 수 있으며, 이를 통해 해커는 결제 세부 정보, 고객 기록 등과 같은 정보에 액세스할 수 있습니다.

공급망 공격으로부터 보호하는 방법은 무엇입니까?

공급망 공격의 특성상 이에 대한 대응이 어렵습니다. 이러한 유형의 공격은 기업이 공급업체에 대해 가지고 있는 신뢰를 이용하여 반격합니다. 이러한 공격을 예방하는 것은 어렵지만, 공격의 영향을 완화하거나 위험을 줄이기 위해 수행할 수 있는 몇 가지 작업은 다음과 같습니다.

인프라 감사

IT가 승인하거나 감독하지 않는 소프트웨어(섀도우 IT)를 사용하는 것은 비즈니스를 공급망 공격에 취약하게 만드는 요인 중 하나입니다. 이러한 공격을 완화하는 방법 중 하나는 조직 내에서 사용되는 모든 소프트웨어에 대해 포괄적인 감사를 수행하는 것입니다. 이를 통해 공급망 해커가 공격을 시작하는 데 활용할 수 있는 취약점이 드러날 수 있습니다.

모든 소프트웨어 자산의 업데이트된 인벤토리를 유지하세요.

귀하가 사용하는 모든 타사 소프트웨어(얼마나 안전해 보이는지에 관계없이)는 잠재적인 취약점입니다. 모든 타사 소프트웨어의 업데이트된 인벤토리를 유지함으로써 업데이트, 업그레이드 및 보안 문제를 더 잘 추적할 수 있습니다. 이는 잠재적인 공격 지점을 좁히고 필요한 솔루션을 배포하는 데도 도움이 됩니다.

공급업체를 엄격하게 평가하고 제로 트러스트 접근 방식을 적용합니다.

타사 도구를 사용하거나 새로운 공급업체와 협력하기 전에 해당 도구가 얼마나 안전한지 엄격하게 확인해야 합니다. 대부분의 경우 공급망 공격은 공급업체가 표준 보안 관행을 따르지 않기 때문에 발생합니다. 위험 평가 노력의 일환으로 공급망 공격에 대한 준비 상태를 확인하기 위해 잠재적인 공급업체에 표준 보안 관행에 대한 세부 정보를 제공하도록 요청할 수 있습니다. 파트너십을 맺으려는 공급업체로부터 SOC 2 유형 보고서 및 ISO 27001 인증을 요청하는 것부터 시작할 수 있습니다. 또한 구매하기 전에 보안 보고서를 확인하고 제품에 대한 인증서를 확인해야 합니다.

기본적으로 새로운 소프트웨어나 사용자를 신뢰하지 마십시오. 보안 프레임워크를 확인하고 서비스 사용에 동의한 후에도 활동이나 권한을 제한하더라도 네트워크의 새로운 도구는 취약성을 줄여줍니다.

제로 트러스트 이미지

보안 도구 사용

바이러스 백신, 방화벽 및 기타 보안 도구는 종종 공급망 공격에 효과적이지 않지만 여전히 코드 무결성을 확인하고 공격 위험을 줄이는 데 도움이 될 수 있습니다. 공격 발생을 막을 수 없더라도 이러한 도구는 계속해서 진행 중인 공격에 대해 경고할 수 있습니다. 예를 들어, 방화벽은 대용량 데이터 블록이 네트워크를 통해 전송되는 시기를 알려줄 수 있으며, 이는 악성코드나 랜섬웨어 공격이 자주 발생하는 경우입니다.

엔드포인트를 보호하세요

공급망 공격자는 보안이 취약한 엔드포인트의 소프트웨어 취약성을 활용하여 공격을 시작하는 경우가 많습니다. 엔드포인트 탐지 및 대응 시스템을 배포하면 맬웨어 및 랜섬웨어로부터 엔드포인트를 보호하는 데 도움이 됩니다. 이렇게 하면 더 이상 이러한 엔드포인트를 사용하여 네트워크의 다른 부분으로 공격을 확산시킬 수 없으며 공격이 더 확산되기 전에 중지할 수 있습니다.

강력한 코드 무결성 정책 배포

엄격한 규칙에 따라 앱에만 권한을 부여하는 강력한 코드 무결성 정책을 배포하면 앱 또는 코드 무결성을 활용하는 공급망 공격을 중지할 수 있습니다. 이러한 코드 종속성 정책은 의심스러워 보이거나 위험 신호를 발생시키는 모든 앱을 차단합니다. 잘못된 전화나 허위 경보가 있을 수 있지만 이러한 방식으로 공급망 위험을 완화하는 것이 공격을 받는 것보다 낫습니다. 신고된 모든 앱은 추가 조사를 거쳐 합법적인 것으로 확인되면 승인될 수 있습니다.

사고 대응 계획 수립

공급망 공격의 빈도가 증가함에 따라 사고 대응 계획을 수립하여 미리 대비하는 것이 가장 좋습니다. 모든 조직은 운영을 온전하게 유지하기 위해 침해가 발생할 경우 미션 크리티컬 구성 요소를 보호할 계획을 가지고 있어야 합니다. 또한 위반이 발생할 때마다 파트너, 공급업체 및 고객에게 알리기 위한 명확한 대응 및 커뮤니케이션 전략이 마련되어 있어야 합니다. IT 팀은 항상 잠재적인 공격에 대비해야 합니다. 적절한 위험 관리 계획에는 잠재적인 공격에 대한 준비 상태를 평가하기 위해 팀과 정기적으로 사고 대응 훈련을 하는 것이 포함됩니다.

최근 공급망 공격의 예

공급망 공격의 효율성은 공격의 확산을 설명하는 주요 요인입니다. 이러한 유형의 공격은 Target과 같은 대기업부터 정부 기관에 이르기까지 다양한 조직에 영향을 미칩니다. 지난 10년 동안 세간의 이목을 끄는 공급망 공격 사례가 몇 건 있었습니다. 가장 주목할만한 공급망 공격 사례는 다음과 같습니다.

  • 시타, 2021

    2021년 초, 항공 운송 데이터 회사 SITA는 580,000명 이상의 말레이시아항공 승객의 비행 기록을 노출한 것으로 추정되는 데이터 유출을 경험했습니다.

    상용 고객 우대 프로그램. 동일한 데이터 유출이 뉴질랜드의 Finnair Air 및 기타 여러 곳에도 영향을 미쳤습니다. 전문가들은 공격 지점이 싱가포르항공과 데이터를 공유하는 스타얼라이언스(Star Alliance)라는 회사를 통해서였다고 생각합니다. 이후 공격은 전체 공급망으로 확산되었습니다.

  • 비밀번호 상태, 2021

    호주에 본사를 둔 회사이자 Passwordstate(비밀번호 관리 솔루션)를 만든 ClickStudios는 2021년 공급망 공격을 보고했습니다. 이 공격은 타사 CDN에서 호스팅되는 소프트웨어 업데이트 서비스를 통해 발생했습니다. 악성코드는 공격 당시 소프트웨어를 업데이트한 고객의 장치에 자동으로 다운로드되었습니다. 악성 소프트웨어는 고객의 데이터베이스에 저장된 모든 데이터를 복호화하여 공격자의 외부 서버에 일반 텍스트로 보내도록 설계되었습니다.

  •  의존성 혼란 2021

    이는 공급망 공격의 확산을 테스트하기 위한 의도적인 공격이었습니다. 보안 연구원인 Alex Birsan은 애플리케이션이 최종 사용자에게 서비스를 제공하는 데 사용한 종속성 프로토콜을 이용하여 Microsoft, Uber, Tesla 및 Apple과 같은 회사에 속한 시스템을 침해했습니다. 이러한 종속성으로 인해 네트워크의 다양한 유명 사용자에게 위조 데이터 패킷을 전송할 수 있게 되었습니다.

  • 마임캐스트, 2021

    손상된 Mimecast 디지털 인증서로 인해 2021년 가장 많이 화제가 된 공급망 데이터 침해 중 하나가 발생했습니다. Microsoft 365 Exchange 웹 서비스에서 일부 Mimecast 서비스를 인증하는 데 사용된 디지털 인증서가 손상되었습니다. 조사 결과, 이 해킹 배후의 그룹이 2020년 SolarWinds 공격에도 책임이 있는 것으로 나타났습니다. 이 공격은 Mimecast 고객의 최대 10%에게 영향을 미쳤습니다.

  • SolarWinds 공격, 2020

    이는 아마도 지난 18,000년 동안 가장 주목을 받은 공급망 공격 사례일 것입니다. 해외 악성 플레이어로 추정되는 해커들은 IT 서비스 제공업체인 SolarWinds라는 제XNUMX자 벤더를 통해 여러 미국 정부 기관을 공격했습니다. 이번 공격의 영향을 받은 XNUMX명의 SolarWinds 고객 중에는 에너지부, 국가핵안보국, 미국 국무부, 상무부, 재무부, 국토부를 포함해 XNUMX개 미국 정부 부처가 포함되어 있습니다. 보안.

  • 아수스, 2018

    2018년에는 ASUS의 라이브 업데이트 소프트웨어를 악용한 악성 공격이 발생하여 백만 대 이상의 컴퓨터에 백도어 악성 코드를 설치했습니다. 이번 공급망 공격에서 해커는 자동 업데이트 기능을 활용하여 사용자 PC에 악성 코드를 도입했습니다. 악성 코드는 합법적인 ASUS 보안 인증서로 서명되어 탐지가 어렵습니다. 다행히 해커의 사용자 목록은 600명으로 제한되어 있었고 목록에 없는 수천 명의 다른 사용자는 큰 영향을 받지 않았습니다.

  • 이벤트 스트림, 2018

    2018년 이벤트 스트림 공격에서 해커는 GitHub 시스템 내의 저장소에 악성 코드를 주입했습니다. GitHub는 수백만 명의 개발자를 위한 백업 서비스였기 때문에 이 공격으로 인해 여러 사용자가 잠재적인 맬웨어 공격에 노출되었습니다. 그러나 악성 코드는 Copay 비트코인 ​​지갑을 표적으로 삼도록 특별히 프로그래밍되었습니다. 악성 코드의 영향을 받은 Copay 개발자가 공격 중에 릴리스 빌드 스크립트를 실행했다면 악성 코드가 애플리케이션에 번들로 포함되어 최소 1000 비트코인을 보유한 Copay 사용자의 개인 키와 계정 정보를 수집했을 것입니다. 계정.

  • Equifax 공급망 공격

    세계 최대 신용카드 신고 기관 중 하나인 Equifax는 2018년 공급망 공격을 받았습니다. 악성 코드는 회사 웹사이트의 앱 취약점을 통해 전달되었습니다. 147억 XNUMX만 명 이상의 Equifax 고객이 주소, 주민등록번호, 생년월일 등을 포함한 민감한 개인 데이터가 노출된 공격의 영향을 받았습니다.

결론

이 기사에서 알아야 할 단 한 가지가 있다면 바로 이것이어야 합니다. 소프트웨어 공급망 공격은 임박한 위협입니다. 그것에 대해서는 의심의 여지가 없습니다.

따라서 공급업체의 서명된 제품과 업데이트를 신뢰할 수 없습니다. 코드에 이미 수정 사항이나 추가 사항이 있을 수 있습니다. 그렇다면 시스템이 악성 파일에 감염되지 않도록 하려면 어떻게 해야 할까요? 각 라이브러리 소유자 또는 프로그램 공급업체가 완전한 SBOM을 제공하는지 확인하세요. SBOM에 대해 자세히 알아보세요. LINK—신뢰할 수 있는 증명을 요청하여 공급업체나 라이브러리 소유자로부터 기대하는 바를 얻을 수 있는지 확인하세요.