[아이뉴스24 김혜경 기자, 박진영 기자] 초연결 사회가 도래하면서 '연결성'을 이용한 사이버 공격이 빈번해지는 가운데 '공급망 해킹'이 또 다른 위협으로 부상하고 있다. 공급망 공격은 보안 수준이 높은 공공‧금융기관을 직접 공격하는 대신 솔루션 공급업체 등 상대적으로 보안이 미흡한 곳을 우회적으로 침투하는 방식이다.
2020년 솔라윈즈(SolarWinds)에 이어 지난해 전 세계를 강타한 로그4j(Log4j) 취약점 사태가 맞물리면서 공급망 공격은 디지털 인프라를 흔드는 위협으로 성장했다. 공격 범위가 넓고 파급력이 크다는 점에서 한국에서도 '소프트웨어 자재 명세서(SBOM)' 도입 등 제도 보완이 필요하다는 목소리가 나온다.
◆랜섬웨어 위협 속 존재감 키우는 공급망 공격
과학기술정보통신부에 따르면 랜섬웨어 피해 규모는 2015년 3천800억원에서 2026년 84조3천억원, 2013년에는 312조7천억원에 달할 것으로 전망된다. '엑스트라홉(ExtraHop)'이 전 세계 IT업계 의사결정권자 500명을 대상으로 한 설문조사 결과 지난 5년 동안 85%가 적어도 한 번 이상 랜섬웨어 공격을 경험했으며 74%는 여러 번의 사고를 경험했다고 응답했다.
랜섬웨어 공격이 가장 치명적인 보안 위협으로 부상한 가운데 소프트웨어(SW) 공급망 해킹에 대한 경각심도 높아지고 있다. 한국인터넷진흥원(KISA)에 따르면 올해 우려되는 사이버 위협은 랜섬웨어에 이어 ▲정보 유출 ▲악성코드 ▲공급망 공격 순으로 조사됐다.
주요 글로벌 기업들이 사이버 보안 투자를 강화하면서 공격자들은 상대적으로 보안 수준이 약한 솔루션 공급업체나 파트너사를 통해 우회하는 방안을 선택하고 있다. 공격 범위가 확장되면서 기업‧기관들은 기존 접근 방식을 뛰어넘어 오픈소스 코드, 클라우드, 복합 디지털 공급망 등 광범위한 영역의 보안 취약점을 점검해야 하는 셈이다.
KISA는 "자바(Java) 등 널리 이용되는 SW 취약점을 이용한 공격은 앞으로 더 늘어날 것"이라며 "공격자들은 공급망 공격을 초기 진입점으로 이용할 것으로 보이며 이같은 공격에 주의하기 위해서는 기업‧기관과 SW 개발업체 두 가지 관점에서 보안 점검이 필요하다"고 분석했다.
글로벌 보안기업 체크포인트 소프트웨어 테크놀로지스에 따르면 솔라윈즈 사태 이후 공급망 공격이 크게 늘었다고 분석했다. 2020년 12월 발생한 솔라윈즈 사태는 최악의 공급망 해킹으 꼽히며 악성 업데이트를 내려받은 기관‧기업 3만여곳 중 1만8000여곳이 피해를 입었을 것으로 추정된다. 체크포인트는 대표적인 공급망 공격 사례로 카세야(Kaseya), 아파치 소프트웨어 재단의 로그4j 취약성 등을 언급했다.
시장조사 업체 가트너도 '2022년 주요 보안‧리스크 관리 트렌드' 보고서를 통해 2025년까지 전 세계 조직의 45%가 SW 공급망 공격을 경험하게 될 것이라고 전망했다. 이는 지난해 대비 3배 증가한 수치다. 가트너는 "사이버 범죄자들은 디지털 공급망에 대한 공격이 높은 투자 수익율을 제공할 수 있다는 것을 발견했다"며 "공급망을 통해 로그4j와 같은 취약점이 확산되면서 더 많은 위협이 등장할 것"이라고 분석했다.
국내 보안업계 한 관계자는 "과거에 비해 공공기관이나 대기업들은 보안 관련 투자를 확대하고 있는 추세"라며 "문제는 중소기업에 대한 사이버 공격인데 국내 보안솔루션 공급업체 대부분이 중소기업이라는 점에서 주의가 요구된다"고 말했다.
이어 "사회공학적 해킹도 공급망 공격과 연관된다"며 "공격자는 개인정보를 습득하기 위해 특정 개인이 가입한 수많은 사이트 중 상대적으로 보안이 취약한 중소업체 사이트를 공격해 개인정보를 빼낸 후 악성파일을 유포하기 때문"이라고 덧붙였다.
◆공급망 해킹 대응 방안은?
사이버 해킹 피해를 최소화하기 위해 SW 구성 소스 코드의 체계적 관리가 필요하다는 의견이 나오는 가운데 'SBOM' 도입 필요성도 제기되고 있다.
SBOM은 '소프트웨어 자재 명세서(Software Bills of Materials)'의 약칭으로 소프트웨어 패키지, 구성 요소 등을 고유하게 식별 가능한 형식으로 파악할 수 있도록 한다. 기계가 읽을 수 있는 메타데이터, 저작권, 라이선스 등 소프트웨어과 관련한 기타 정보들을 포함한다.
앞서 미국 정부는 지난해 5월 사이버 보안 강화를 위해 SBOM 제출 의무화를 발표했다. 미 연방정부와 사업계약을 맺는 기업은 SBOM을 필수적으로 제출하도록 한 것이다.
SBOM은 SW의 보안 취약점, 출처 및 계보, 라이선스 의무 등을 효과적으로 해결할 수 있다. 이를 통해 SW 생산, 구매 및 운영자에게 공급망에 대한 보다 정확한 정보를 제공하는 것은 물론, SW의 취약점과 위험을 쉽게 추적할 수 있는 것이다.
국내 보안업계는 이같은 사이버 위협에 대응하기 위해 산‧학‧연 연계를 통한 국가 차원의 보안 신기술 투자를 비롯해 보안 인증‧공공 조달 제도 개선이 필요하다고 강조하고 있다.
한 업계 관계자는 "국내에서는 아직 낯설지만 미국에서 SBOM 제출을 의무화하면서 해외 기업들은 SBOM을 도입하거나 준비 중에 있다"며 "해킹 기법 지능화로 모든 공격을 막을 수 없는 상황에서 피해를 최소화하는 것이 더욱 중요해졌다. 신속한 대응을 위해 SBOM과 같은 제도 도입의 공론화도 필요하다"고 설명했다.
또 다른 관계자는 "대기업뿐만 아니라 중소업체들도 공급망 공격 등을 방어하기 위해 보안을 강화해야 하는 추세"라면서 "현재 KISA 등의 기관에서도 공급업체를 선정해 일부 비용을 부담하는 방식으로 지원을 하고 있으므로 앞으로도 제도적 지원이 강화될 필요가 있다"고 말했다.
'제로 트러스트(Zero-Trust)' 기반 접근의 중요성도 강조되고 있다. 제로 트러스트란 '아무것도 신뢰하지 않는다'는 것을 전제로 한 보안 모델이다. 찰스 핸더슨(Charles Henderson) IBM 엑스포스(X-Force) 총괄은 "언제나 공격당할 수 있다는 생각을 토대로 '제로 트러스트(Zero Trust)' 전략을 통해 취약점을 관리해야 한다"고 말했다.
/김혜경 기자(hkmind9000@inews24.com),박진영 기자(sunlight@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기