2049호(220608)_SW 기반의 공급망 공격 동향 및 대응방안

1. 소프트웨어 기반 공급망 공격 개요

1) 공급망 보안의 필요성

• 공급망을 구성하고 있는 네트워크, 개발인프라, 인적요소 등 신뢰된 환경이 공격의 교두보로 이용되어 공격에 성공하면 퍼펙트 스톰이 되기 때문에 공급망 보안의 필요성 증대
• 클라우드, 빅데이터, 블록체인 등 신기술 발전으로 인해 촉발된 4차 산업혁명으로 디지털 전환이 본격화되면서 소프트웨어 기반의 공급망 공격 주목
• 소프트웨어 개발 라이프사이클에 침투해서 정보탈취 및 시스템제어 등 악의적인 기능을 주입한 위·변조 소프트웨어를 통해 공격 대상에 직접 접근하지 않고도 악성코드를 배포할 수 잇는 환경 조성

 

2) 공급망 공격 분류

• 하드웨어 공급망 공격: 기술스택에 따라 IC(Integrated Circuit), SoC(System on Chip)와 같은 입·출력 장비 등 물리적 구성요소 공격
• 소프트웨어 공급망 공격: 시스템 소프트웨어(OS)나 응용 소프트웨어와 같이 동작을 지시하기 위한 명령어 집합으로 구성된 소프트웨어 공격
• 펌웨어 공급망 공격: 하드웨어와 소프트웨어 특성을 동시에 지니면서 하드웨어의 교체 없이 소프트웨어를 통해 시스템 성능 향상을 목적으로 사용되는 펌웨어 공격

 

 

2. 소프트웨어 기반 공급망 공격 동향

• 공급망 공격 유형: 신뢰된 관계, 침입을 위한 접근행위, 피싱, 악성코드 감염 등
• 소프트웨어 공급망 공격에서 주로 선호되는 공격 방식: 신뢰된 관계를 이용한 방식
• 개발환경의 내외부에 존재하는 오픈소스 레파지토리나 3rd Party Solution 등 조직의 인프라 환경 상에서 기 구축된 접점을 활용하기 때문에 위·변조된 소프트웨어나 악성코드 주입에 성공하게 된다면, 하위 시스템의 접근권한을 획득하여 권한상승이나 측면이동(lateral movemnet)과 같은 2차 피해를 유발할 수 있는 후속공격 도모
• 오픈소스 레파지토리를 이용한 대표적 공격사례: 타이포스쿼팅(typosquatting, 사회공학기법의 하나로 비슷한 문자나 오타를 유발하여 공격하는 기법), 하이재킹으로 악성코드 삽입 공격

 

 

3. 소프트웨어 기반의 공급망 공격 대응방안

1) 정책·제도적 대응방안

• 사이버 사고 및 위협정보 공유, 클라우드 전환에 따른 제로트러스트 아키텍처(ZTA) 도입이나 다단계 인증(MFA) 및 데이터 암호화를 적용한 사이버 보안체계 현대화, 소프트웨어 개발 보안지침 수립 및 소프트웨어 구성요소 간의 의존관계나 취약한 오픈소스 사용여부 및 만료된 라이선스와 같이 불안정한 요소의 기술적 검토를 지원할 수 있는 SBOM 적용 등을 명시
• 소프트웨어 공급망의 위협요소를 설계, 개발 및 생산, 배포, 획득과 배포, 유지보수, 폐기 단계별로 관리할 수 있는 가이드라인 배포
• 소프트웨어 개발 프레임워크인 SSDF와 사이버 공급망 위험관리인 C-SCRM을 통해서 SDLC 환경의 소프트웨어 개발보안 요구사항을 정의하고 SSDF의 역할과 책임을 확립하여 공급망 전반의 평가와 지속적인 모니터링을 통해 공급망 위험 관리

 

2) 기술적 측면의 대응방안

• 소프트웨어 공급망 환경에서 보안위협을 유발하는 기술적 요인으로는 소프트웨어 종속성과 취약점 관리, 공급망 타협 등으로 분류
• 소프트웨어 종속성 문제 해소: 소프트웨어의 근간이 되고 있는 레파지토리의 보안성 강화(의존성봇, 의존성 스캐닝 등), 주기적인 종속성 감사를 통한 모니터링
• 소프트웨어 취약점 완화: 일반적으로는 취약점 위험도를 수치화한 CVSS에 따라 우선순위 부여, 취약점 라이프사이클을 고려하여 조직의 환경과 보안성숙도에 따른 취약점 관리방안 적용
• 공급망 타협 대응: 공급망을 구성하고 있는 구성요소를 인지하고 국내 환경에 맞는 소프트웨어 공급망 보안강화체계 구축하여 보안 가시성 확보, SBOM을 통한 공급망 취약점 관리 및 상관관계 분석을 통한 모니터링 방안으로 활용할 수 있는 연구가 지속됨에 따라 소프트웨어 가시성과 무결성 검증을 위한 보안검증체계 수립 및 보안기술 개발 등의 추가적인 지원 뒷받침 필요