소프트웨어 공급망이 공격받고 있습니다
조직의 보안을 위한 전략
공격자는 소프트웨어 공급망에 초점을 맞춥니다
모든 조직에서는 소프트웨어 공급망에 의존합니다. 친숙한 애플리케이션은 오픈 소스 코드, API, 타사 통합 웹을 기반으로 구축되어 원활하게 실행됩니다. 이러한 상호 의존적인 역학 때문에 새 도구를 온보딩한다는 것은 도구 자체가 아닌 전체 개발 생태계를 신뢰하기로 선택하는 것을 의미합니다.
소프트웨어 공급망 공격은 이러한 현상을 악용하며, 기업 네트워크를 침해하는 점점 더 일반적인 공격 방법이 되고 있습니다.Gartner에서는 "2025년까지 전 세계 조직의 45%가 소프트웨어 공급망에 대한 공격을 경험하게 될 것이며, 이는 2021년보다 3배 증가한 수치"라고 예측합니다.
공격자는 대상의 네트워크를 직접 침해하는 대신 대상이 의존하는 타사 애플리케이션 또는 오픈 소스 코드의 약점을 악용하는 경우가 많습니다. 이렇게 하면 대상의 네트워크에 간접적으로 액세스할 수 있습니다.
소프트웨어 공급망 공격의 작동 방식
그렇긴 하지만, 소프트웨어 공급망 공격은 때로는 특정 표적을 노리기보다는 기회주의적입니다. 공격자는 공급업체를 파악하기 위해 대상 소프트웨어에서 거꾸로 작업하는 대신, 오픈 소스 코드, 특정 애플리케이션 등 널리 사용되는 것을 손상시킨 다음 어떤 이점이든지 얻어내려고 합니다. 이러한 공격은 필요한 노력의 양에 비해 상당한 보상을 얻을 수 있으므로 매력적입니다.
공격자는 도난당한 계정 자격 증명을 사용하거나 제로 데이 또는 패치되지 않은 취약점을 악용하는 등 다양한 방법으로 타사 리소스에 액세스합니다. 그런 다음 이 권한 있는 액세스를 이용하여 다운스트림 공격을 시작합니다. 소프트웨어 공급망 공격은 다음과 같은 다양한 형태를 취할 수 있습니다.
타사 네트워크 액세스. 타사 또는 공급업체가 손상된 경우 공격자는 해당 권한을 사용하여 고객 및 파트너 조직에서 데이터를 훔치고 맬웨어를 유포하는 등의 작업을 수행할 수 있습니다.예를 들어, Kaseya 공격에서 사이버 범죄 조직 REvil은 회사의 원격 모니터링 및 관리 솔루션에 사용되는 서버 내의 취약점을 악용했습니다.REvil은 그런 다음 이처럼 권한이 상승된 것을 이용하여 수백 명의 Kaseya 고객에게 랜섬웨어를 배포했습니다.
소프트웨어/애플리케이션 업데이트.장치에는 업데이트 패키지 내에 숨겨진 맬웨어가 다운로드될 수 있습니다.2017년에, 러시아의 공격자들은 이 방법을 채택하여 인기 있는 우크라이나 회계 소프트웨어 업데이트에 NotPetya 맬웨어를 포함시켰습니다.공격의 범위는 우크라이나를 훨씬 넘어 백악관에서 공격의 전 세계 피해를 100억 달러로 평가 할 정도로 확산되었습니다.
오픈 소스 코드 패키지.기업에서는 오픈 소스(또는 공개적으로 액세스할 수 있는) 코드를 사용하여 소프트웨어 개발의 효율성을 극대화하는 경우가 많습니다.그러나 이 코드에서 취약점이 발견될 경우 이 코드를 사용하는 조직이 위험에 노출됩니다.공격자는 알려진 취약점을 악용하는 것 외에도 맬웨어를 유포하는 또 다른 수단으로 이러한 패키지에 악성 코드를 심을 수도 있습니다.
또한 소프트웨어 기반 공격이 가장 만연하여 공격의 66%가 공급업체 코드에 집중되어 있지만, 공급망 공격은 다양한 형태를 취할 수 있음을 유의해야 합니다.예를 들어, 마이크로 칩, 랩톱, 사물 인터넷(IoT) 장치, 운영 기술(OT)이 모두 손상될 수 있습니다.펌웨어나 하드웨어에 내장된 소프트웨어도 대상이 될 수 있습니다.
소프트웨어 공급망 공격을 보면 소프트웨어 생태계가 취약함을 알 수 있습니다.
SolarWinds 공격은 거의 틀림없이 소프트웨어 공급망 공격의 가장 잘 알려진 예입니다. 2020년 12월, 사이버 보안 제공업체 FireEye에서는 공격을 받아 피해를 입었다고 보고했습니다. 러시아 사이버 범죄 그룹 Nobelium은 FireEye의 IT 모니터링 공급업체인 SolarWinds를 표적으로 삼아 소프트웨어 업데이트 패키지 중 하나에 악성 코드를 삽입했습니다. 이때 총 18,000개의 조직에서 감염된 업데이트를 다운로드했습니다.
SolarWinds는 신뢰할 수 있는 선의의 공급업체에 대한 공격이 해당 공급업체를 이용하는 조직에 대한 공격으로 이어질 수 있음을 보여줍니다.
많은 기업에서 공급업체에 SOC 2 규정 준수, 침투 테스트 등의 보안 표준을 충족하도록 요구하지만, 어떤 조직도 공격에서 안전하다는 보장은 없습니다.
예를 들어 Apache에서 2021년 12월에 오픈 소스 로깅 라이브러리 Log4j에 심각한 취약점이 있음을 공개한 사례를 살펴보겠습니다.Log4j는 아주 흔히 사용되므로 사이버 보안 및 인프라 보안국(CISA)의 Jen Easterly 이사는 "모든 사람은 자신이 노출되었고 취약하다고 가정해야 한다"고 말했습니다.공격자는 지체 없이 취약점을 악용했고 계속 그렇게 하고 있습니다.
대규모 공격이나 세간의 이목을 끄는 피해자가 뉴스에 등장하는 경우가 많지만, 소프트웨어 공급망 유형의 공격은 대기업을 공격하는 데만 사용되는 것은 아닙니다. 공격자는 개발 환경을 대상으로 하는 캠페인과 같이 반드시 헤드라인에 나오지는 않는 소규모 캠페인에도 이 방법을 사용할 수 있습니다. 이는 이러한 스타일의 공격이 조사 결과로 제시되는 것보다 훨씬 더 일반적일 수 있음을 의미합니다.
소프트웨어 공급망 보안
그럼, 공격을 완벽하게 막아주는 공급업체가 없다면 기업은 공급망 공격에 어떻게 대응할 수 있을까요?조직에서 타사를 과도하게 신뢰하는 정도를 줄이는 것이 좋은 출발점입니다.Zero Trust 아키텍처를 구현하면 이 영역에서 큰 변화를 가져올 수 있습니다.
네트워크 내부의 사용자와 디바이스에 신뢰를 부여하는 경계 기반 모델과 달리 Zero Trust는 공격자가 네트워크 내에 있다고 가정합니다.제로 트러스트 아키텍처는 ID 및 컨텍스트를 기반으로 사용자, 장치, 워크로드를 평가하고 액세스 결정을 동적으로 내립니다.보다 구체적으로, Zero Trust 아키텍처는 다음을 통해 소프트웨어 공급망 공격으로부터 회사 네트워크를 보호합니다.
타사 액세스 관리.제로 트러스트 액세스 관리 도구를 사용하면 사용자, 장치 또는 워크로드별로 액세스 수준을 쉽게 사용자 지정할 수 있습니다.조직은 타사 사용자가 연결하는 방법에 대한 엄격한 표준을 설정하고 최소 권한 액세스를 적용할 수 있습니다.
내부망 이동 방지.공격자가 네트워크에 침입하면 Zero Trust 아키텍처는 공격자가 네트워크 전체에 걸쳐 이동하고 추가 피해를 입힐 수 있는 능력을 제한합니다.예를 들어 Zero Trust 세분화를 촉진하며, 이는 공격자가 네트워크 내의 다른 영역에 도달하려면 다시 인증을 받아야 함을 의미합니다.
애플리케이션 보호. Zero Trust는 인터넷에서 내부 애플리케이션을 효과적으로 숨겨 공격자로부터 보호할 수 있습니다.따라서 내부 애플리케이션에 취약점이 있더라도 공격자가 액세스할 수 없습니다.
맬웨어로부터 보호. DNS 필터링은 소프트웨어 업데이트에 숨겨져 있을 수 있는 명령 및 제어 공격을 차단할 수 있습니다. 이러한 공격에서 장치에 있는 맬웨어는 서버에 공격자의 지시를 받을 준비가 되었음을 알립니다. DNS 필터링은 이러한 연결을 설정하는 데 필요한 DNS 요청을 차단할 수 있습니다.
Cloudflare를 통한 Zero Trust 수용
소프트웨어 공급망 공격으로부터 조직을 보호합니다. Zero Trust 네트워크 액세스를 사용하여 Zero Trust 규칙을 SaaS 및 자체 호스팅 애플리케이션으로 확장하고 타사 사용자, 직원, IoT 장치에 대해 최소 권한 액세스를 적용합니다. Cloudflare Gateway는 의심스러운 사이트에 대한 액세스를 차단하고 데이터 유출을 방지하며 명령 및 제어 공격으로부터 사용자를 보호합니다.
Cloudflare Zero Trust는 원격 사용자, 지사, 데이터 센터를 필요한 애플리케이션 및 인터넷 리소스에 안전하게 연결하는 보안 액세스 서비스 에지(SASE) 아키텍처인 Cloudflare One의 일부입니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
소프트웨어 공급망 공격이 커지는 우려의 원인이 되는 이유
주요 공격 중 일부가 미친 영향
공격자가 이러한 공격을 시작하기 위해 악용할 수 있는 다양한 진입점
소프트웨어 공급망을 보호 방하는법
관련 자료
이 주제에 관해 자세히 알아보세요.
Cloudflare Zero Trust로 제품의 셀프 가이드 투어를 통해 사용자와 장치를 필요한 리소스에 안전하게 연결하는 방법에 대해 자세히 알아보세요.