"당한 지 모르고 당했다"…'현대판 트로이목마' SW 공급망 공격 '비상'

등록 2024.04.20 12:01:00수정 2024.04.20 12:12:51

SW 개발사 취약점 노출되면 전체 고객사 시스템 위험 노출

초연결 사회 막중한 피해 우려…"이제 막 시작 단계" 보안 전문가들의 경고

SW투명성 높이는 'SBOM'확산…美 올해부터 서류 제출 의무화

팔 걷은 韓 정부…'SW공급망 보안 가이드라인 1.0' 발표

[서울=뉴시스]

[서울=뉴시스]송혜리 기자 = #2020년 12월. 전세계는 충격에 휩싸였다. 미국 정부 기관은 물론 포춘 500대 기업들이 일제히 사이버 공격을 당한 것이다. 조사 결과, 이들이 사용 중이었던 솔라윈즈의 네트워크 모니터링 소프트웨어(SW)에서 백도어가 발견됐다. 이 SW를 내려받은 기관·기업은 1만8000개 이상에 달했다. 이 사건은 미국 역사상 최악의 사이버 공격 중 하나로 꼽혔다. 미국 정부는 SW공급망 보안 강화를 위한 정책을 마련키로 했다.

#지난해 3월, 국내 주요 기관 60여곳의 PC 210여대가 해킹되는 일이 발생했다. 보안당국이 원인을 파악한 결과, 유명 금융 보안인증 SW의 보안 취약점이 해킹 통로로 악용됐다. 더욱이 시스템 뒷단에서 작동하는 보조 프로그램이기 때문에, 자신의 컴퓨터에서 해당 SW가 깔려있는 지 없는 지 잘 모르는 이용자들이 많았다.

개발사부터 최종 이용자까지 공급망타고 악성코드 확산

SW 공급망 공격이 전세계 보안 당국을 위협하는 새로운 공격 수법으로 주목을 받고 있다. 일반적으로 SW는 과거 패키지 제품과 달리 한번 고객사나 이용자 PC에 설치되면 온라인을 통해 지속적으로 업데이트를 받는다. 서비스 개발사로부터 소비자에게 업데이트 파일이 배포되는 공급망을 이용해 SW 이용자들의 시스템을 해킹하는 공격이 바로 SW 공급망 공격이다.

개발사 시스템에 침투해 악성코드를 SW에 심어놓거나 납품·유통하는 과정, 취약점 패치·유지보수(업데이트) 과정에서 변조하는 형태가 있다. 최근엔 범용으로 공개된SW(오픈소스)에 악성코드를 미리 심어 개발사들이 사용하도록 하는 경우도 있다.

솔라윈즈의 경우엔 SW업데이트를 악용했는데, 해커는 업데이트 파일을 변조했다. 이 사실을 알리 없는 솔라윈즈가 이를 배포했고, 이용자들이 이를 내려받았다.

이렇듯 SW공급망 공격에서 해커들이 심어 놓은 악성코드는 SW를 통해 1차 고객사, 그리고 최종 이용자에게 전달된다. SW공급망을 타고 연쇄적으로 전달되기 때문에 단일 피해로 끝나지 않는다. 솔리윈즈 건으로 1만여개의 피해 기업·기관이 발생했다.

전문가들은 SW공급망 공격은 이제 시작단계라고 입을 모은다. 기업, 사회기반시설에 대한 피해 뿐만 아니라 모든 사물이 SW로 연결되는 초연결시대 치명적인 사이버 위협이 될 것이라는 경고다.

가트너는 내년까지 전 세계 조직의 45%가 SW공급망 공격을 경험할 것이라며, 공급망 리스크가 더욱 커질 것으로 예측했다. 또 과학기술정보통신부와 한국인터넷진흥원(KISA) 역시 '2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망'을 통해 올해 주요 사이버 위협 중 첫번째로 소프트웨어 공급망 공격을 꼽았다.

부품 관리에 대한 필요성 제기…SW명세서 'SBOM' 확산

SW공급망 공격이 기승을 부리자 세계 각국에서 대응방안으로 주목받고 있는 것이 바로 소프트웨어 자재 명세서(SBOM, Software Bill Of Materials)다.

SBOM은 제조업에서 쓰는 자재명서서(BOM, Bill Of Materials)를 소프트웨어에 결합시킨 합성어다. BOM은 제품을 구성하는 모든 재료와 품목분류 코드, 단가, 원산지 등을 상세히 써 놓은 문서로, 자재 수나 요소 등에 변동이 생길 경우에 이를 효과적으로 관리하기 위해 작성한다.

SBOM도 마찬가지다. 해당 SW가 어떤 요소로, 어떤 과정을 통해 만들어졌는지 또 타 SW와 융합은 어떤 형식으로 했는지 등을 모두 기록한 문서다. 운영체제, 구성요소, 라이선스 정보, 취약성 정보 등을 담는다. 마치 식품·음료수 포장지에 영양정보를 공개해 둔 것과도 같다.

SW의 모든 요소와 정보를 확인 할 수 있기 때문에 취약점을 미리 식별하고 모니터링할 수 있다. 또 보안 사고가 발생했을 때 어떤 부분에서 문제가 발생했는지 파악도 쉽다. 결과적으로 보안을 강화할 수 있게 되는 셈이다.

세계 보안 당국은 SBOM 도입을 제도화하는 분위기다. 미국은 연방정부에 납품되는 SW제품의 보안 강화를 위해 '지침준수·자체 증명' 등의 서류 제출을 의무화 했으며, 이와 비슷한 내용으로 유럽연합(EU)은 지난달 디지털 기기의 사이버복원력 법안(CRA)을 확정·승인했다.

미국, 일본, 인도, 호주 등 4개국은 주요 기반 시설의 사이버보안·공급망 위험관리 등 대응 역량을 강화하도록하는 '안전한 SW를 위한 공동 원칙'을 마련한 상태다. 우리 정부도 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회 등을 중심으로 민·관 협력을 바탕으로 'SW 공급망 보안 가이드라인'을 마련했다.

정부는 이번 SW 공급망 보안 가이드라인을 KISA, NIPA 및 한국소프트웨어산업협회(KOSA), 한국정보보호산업협회(KISIA) 등 유관 단체를 통해 정부·공공기관, 민간 기업들이 활용할 수 있도록 널리 확산할 계획이다.

SW를 제공받는 공공기관이나 일반기업들도 선제적인 예방조치를 취하는 것이 바람직 하다. 가령, 정기적인으로 소프트웨어 공급업체 평가 및 모니터링이 이뤄져야 하며 백신프로그램도 실시간 업데이트해야 한다. 강력한 내부 보안 지침을 마련하고 만약 보안 사고 발생을 대비해 비상 대응계획도 수립해야 한다는 게 전문가들의 조언이다.

◎공감언론 뉴시스 [email protected]