공급망 공격은 일반적인 해킹과 어떻게 다른가요?

일반적인 해킹은 피해자를 직접 표적으로 삼지만, 공급망 공격은 피해자가 신뢰하는 소프트웨어나 서비스 제공업체를 먼저 침해합니다. 이로 인해 피해자는 스스로 아무런 실수를 하지 않았더라도 악성 코드에 감염될 수 있어, 탐지와 예방이 훨씬 어렵습니다.

공급망 공격으로부터 VPN이 저를 보호해줄 수 있나요?

VPN은 인터넷 트래픽을 암호화하고 IP 주소를 숨겨주지만, 공급망 공격 자체로부터 보호하지는 않습니다. 오히려 VPN 소프트웨어 자체가 공급망 공격의 표적이 될 수 있습니다. 신뢰할 수 있는 제공업체를 선택하고, 공식 출처에서만 소프트웨어를 다운로드하며, 정기적인 보안 감사를 실시하는 제공업체를 이용하는 것이 중요합니다.

내가 사용하는 소프트웨어가 공급망 공격의 영향을 받았는지 어떻게 알 수 있나요?

개인 사용자가 스스로 감지하기는 매우 어렵습니다. 소프트웨어 벤더의 공식 보안 공지, 신뢰할 수 있는 사이버 보안 뉴스, 그리고 운영 체제나 바이러스 백신의 경보에 주의를 기울이는 것이 최선의 방법입니다. 또한 소프트웨어를 공식 출처에서만 다운로드하고 코드 서명 인증서를 확인하는 습관을 들이는 것이 도움이 됩니다.

공급망 공격을 예방하기 위해 기업은 어떤 조치를 취할 수 있나요?

기업은 소프트웨어 자재 명세서(SBOM)를 작성하여 사용하는 모든 소프트웨어 구성 요소를 파악하고, 제로 트러스트 아키텍처를 도입하며, 서드파티 벤더에 대한 정기적인 보안 감사를 실시할 수 있습니다. 또한 소프트웨어 패키지의 암호화 검증을 적용하고, 직원들을 대상으로 피싱 등 사회공학적 공격에 대한 보안 교육을 강화하는 것도 효과적인 예방 조치입니다.

공급망 공격

공급망 공격: 위협이 소프트웨어 내부에서 시작될 때

신뢰할 수 있는 벤더의 소프트웨어를 설치합니다. 보안 모범 사례를 따릅니다. 모든 것을 최신 상태로 유지합니다. 그런데도 어느 순간 시스템이 침해됩니다. 이것이 바로 공급망 공격의 불안한 현실입니다. 위협은 직접적인 침입에서 오는 것이 아니라, 이미 신뢰하고 있던 무언가로부터 비롯됩니다.

공급망 공격이란

공급망 공격은 사이버 범죄자가 표적이 의존하는 벤더, 소프트웨어 라이브러리, 업데이트 메커니즘, 또는 하드웨어 구성 요소를 침해함으로써 표적을 간접적으로 공략하는 방식입니다. 방어가 철저한 기업을 정면으로 공격하는 대신, 공격자는 해당 기업이 사용하는 의존성 체계 어딘가의 더 약한 연결 고리를 찾아 근원부터 오염시킵니다.

그 결과, 악성 코드, 백도어, 또는 스파이웨어가 수천에서 수백만 명의 사용자에게 자동으로 배포됩니다. 흔히 소프트웨어를 안전하게 유지하기 위해 설계된 바로 그 업데이트 메커니즘을 통해서 말입니다.

작동 방식

현대의 소프트웨어 대부분은 서드파티 라이브러리, 오픈소스 패키지, 클라우드 서비스, 벤더 제공 구성 요소 등 여러 계층의 의존성 위에 구축됩니다. 이러한 복잡성은 어떤 단일 조직도 완전히 감시하기 어려운 공격 표면을 만들어냅니다.

일반적인 공격 순서는 다음과 같습니다:

표적 식별 – 공격자는 클라이언트보다 보안 수준이 낮은 널리 사용되는 소프트웨어 벤더나 오픈소스 패키지를 파악합니다.
침해 – 공격자는 벤더의 빌드 시스템, 코드 저장소, 또는 업데이트 서버에 침투합니다. 이는 피싱, 탈취된 자격 증명, 또는 벤더 자체 인프라의 취약점 악용을 통해 이루어질 수 있습니다.
코드 삽입 – 악성 코드가 합법적인 소프트웨어 업데이트 또는 라이브러리 버전에 은밀하게 삽입됩니다.
배포 – 오염된 업데이트는 합법적인 인증서로 서명된 후 모든 사용자에게 배포됩니다. 신뢰할 수 있는 출처에서 제공되기 때문에 보안 도구가 이를 플래그로 표시하지 않는 경우가 많습니다.
실행 – 악성 코드가 피해자의 기기에서 자격 증명 수집, 백도어 구축, 또는 데이터 유출 등을 수행하며 조용히 실행됩니다.

2020년 솔라윈즈(SolarWinds) 공격이 가장 악명 높은 사례입니다. 해커들은 정기 소프트웨어 업데이트에 악성 코드를 삽입했고, 이는 미국 정부 기관을 포함한 약 18,000개 조직에 배포되었습니다. 이 침해는 수개월간 발견되지 않았습니다.

또 다른 잘 알려진 사례는 NPM 패키지 생태계와 관련된 것으로, 공격자들이 인기 있는 라이브러리와 이름이 거의 동일한 악성 패키지를 게시했습니다. 이는 개발자가 실수로 설치하도록 유도하는 타이포스쿼팅(typosquatting)이라는 기법입니다.

VPN 사용자에게 중요한 이유

VPN 소프트웨어 자체도 예외는 아닙니다. VPN 클라이언트를 설치할 때, 여러분은 해당 애플리케이션과 그것이 의존하는 모든 라이브러리가 깨끗하다고 신뢰하는 것입니다. VPN 제공업체의 소프트웨어 배포를 표적으로 한 공급망 공격은 이론적으로 실제 IP 주소를 유출하거나, 킬 스위치를 비활성화하거나, 사용자 모르게 트래픽을 기록하는 침해된 클라이언트를 전달할 수 있습니다.

따라서 다음 사항을 철저히 준수하는 것이 매우 중요합니다:

VPN 소프트웨어는 반드시 공식 출처에서만 다운로드하고, 서드파티 앱 스토어나 미러 사이트는 이용하지 마십시오.
재현 가능한 빌드(reproducible builds)를 공개하거나 정기적인 서드파티 감사를 받는 제공업체를 선택하여 컴파일된 소프트웨어를 독립적으로 검증할 수 있도록 하십시오.
코드 서명 인증서를 확인하여 소프트웨어가 개발자 측을 떠난 이후 변조되지 않았음을 확인하십시오.
소프트웨어를 최신 상태로 유지하되, 보안 뉴스에도 주의를 기울이십시오. 벤더가 공급망 사고를 공지하면 신속하게 대응하십시오.

VPN 소프트웨어 외에도, 공급망 공격은 브라우저, 브라우저 확장 프로그램, 패스워드 매니저, 운영 체제 등 프라이버시를 위해 사용하는 광범위한 도구에 영향을 미칩니다. 예를 들어, 침해된 브라우저 확장 프로그램은 VPN이 프라이버시 보호를 위해 수행하는 모든 작업을 무력화할 수 있습니다.

더 넓은 맥락에서 바라보기

공급망 공격은 신뢰를 악용하기 때문에 특히 위험합니다. 전통적인 사이버 보안 조언은 "신뢰할 수 있는 출처에서만 다운로드하라"고 말하지만, 공급망 공격은 신뢰할 수 있는 출처 자체를 위협으로 만들어버립니다. 이것이 바로 제로 트러스트 아키텍처(zero trust architecture), 소프트웨어 자재 명세서(SBOM, Software Bill of Materials), 소프트웨어 패키지의 암호화 검증 같은 개념들이 보안 커뮤니티에서 진지하게 주목받고 있는 이유입니다.

일반 사용자에게 시사하는 바는 단순하지만 중요합니다: 여러분이 의존하는 소프트웨어의 보안은 그 뒤에 있는 전체 생태계만큼만 안전합니다. 정보를 지속적으로 파악하고, 투명한 보안 관행을 갖춘 벤더를 선택하며, VPN 감사와 같은 도구를 활용해 제공업체의 주장을 검증하는 것 모두가 진정으로 견고한 프라이버시 환경을 구축하는 과정의 일부입니다.

공급망 공격고급

공급망 공격: 위협이 소프트웨어 내부에서 시작될 때

공급망 공격이란

작동 방식

VPN 사용자에게 중요한 이유

더 넓은 맥락에서 바라보기

// FAQ