[정보보안] SW 공급망 침해 사례 및 공격 유형
KISA 보호나라&KrCERT/CC 사이트에 등록된 “SW 공급망 보안 가이드라인 1.0“의 내용을 발췌하였습니다.
SW 공급망 침해 사례
미국은 솔라윈즈(Solarwinds) 등 대규모 SW 공급망 공격을 경험하면서 2021년 5월 ‘국가 사이버보안의 개선에 관한 대통령의 행정명령(EO 14028)’을 발표하였다. 이는 연방정부의 SW 공급망 보안을 위한 정책 실행을 가속화하는 계기가 되었으며 이를 통해 연방정부의 사이버보안 개선 정책의 구체적인 제도화를 추진 중이다.
| 공격명 (발생 시기) |
사고 내용 및 피해 현황 |
|---|---|
| SolarWinds (2020년) |
러시아 기반 해킹 그룹의 공격으로 IT SW 공급사의 SW 개발환경 및 배포 시스템이 해킹되어 18,000개 이상의 기관이 피해를 입음 해커들은 솔라윈즈가 공급하는 오리온(Orion) 업데이트 서버를 공략하여, 악성코드가 고객사에게 배포되도록 함으로써 대략 18,000개의 고객사로 침투할 수 있는 경로는 만든 후 중요정보를 유출 |
| Codecov (2021년) |
컨테이너 이미지 보안취약점을 악용해 소스코드 검증을 위한 배포 환경의 인증 정보가 유출, 전 세계 2만 9천여 개 고객사에 영향을 끼침 고객의 소스코드를 검증하는 회사인 Codecov사의 공급망 공격 사건은 도입사 리포지토리의 인증 정보가 유출되어 2차 공격의 파급을 가늠하기 어려움 |
| Colonial Pipeline (2021년) |
송유관 관리사의 IT 시스템이 랜섬웨어에 감염되어 미국 남동부 8,900km 일대 공급이 중단, 지역 비상사태 선포와 약 50억 원의 랜섬머니(Ransom Money) 지급 발생 |
| Log4Shell (2021년) |
Log4j의 제로데이 보안취약점과 공개된 개념 증명 코드를 악용하여 악성코드를 심고, 전 세계 취약 서버를 대상으로 대량의 해킹 공격 발생 |
| Kaseya (2022년) |
클라우드 기반 IT 원격 관리 솔루션 서버를 해킹하고, 업데이트 파일로 위장한 랜섬웨어를 고객사에 배포. 17개국 1,500여 조직이 피해 |
| 3CX (2023년) |
악성코드가 삽입된 X-트레이더 금융 SW를 다운받은 PC를 감염시켜 60만 명 이상의 고객과 1,200만 개 조직으로 전파 북한이 배후로 추정되는 3CX 화상회의 앱(App) 대상 연쇄 공급망 공격 |
| 이니세이프 (2023년) |
금융 보안인증 SW의 보안취약점을 악용해 PC 해킹 및 악성코드 유포로 국내 61개 기관, 총 207대의 기관, 기업, 개인 PC 해킹 피해 |
주요 SW 공급망 공격 유형
SW 공급망 공격은 공급망 구성요소 중 하나 이상의 약점(Weakness)이 손상되어(공격에 노출되어) 최종 제품이 변경되는 것을 의미한다. 즉, 공급망에서 어떤 방식으로든 구성요소의 일부가 변경되어 최종 제품이 취약해지거나 임의의 SW가 포함되는 공격을 뜻한다. 따라서, SW 개발, 변환(Build), 배포, 운영 시스템 등 모든 SW 인프라가 공급망 공격의 대상이 된다.
| 유형 | 세부 내용 |
|---|---|
| 1. 공개 SW 보안취약점 (Vulnerabilities in OSS) |
공개 SW에 취약한 코드 또는 유해한 구성요소가 포함되어 취약성이 공개 SW를 사용하는 모든 SW에 전파 |
| 2. 타사 의존성 (3rd Party Dependencies) |
공격자가 타사 SW(상용 SDK, 라이브러리 또는 컴포넌트)에 악성코드를 삽입하여 이를 이용하는 운영 시스템을 침해 |
| 3. 공용 리포지토리 (Public Repositories) |
공개 SW 코드를 찾는 개발자를 목표로 GitHub 등 알려진 리포지토리 호스팅 서비스에 합법적인 SW 패키지와 유사한 이름을 가진 악성코드를 업로드 |
| 4. 변환 시스템 (Build Systems) |
개발 프로세스 자동화를 위한 CI/CD 상의 중요 코드, 리포지토리, 컨테이너 및 변환 서버를 침해하여 악성코드로 교체 |
| 5. 업데이트 가로채기 (Hijacking Updates) |
공격자가 SW 업데이트 과정을 침해하거나 업데이트 서버의 관리 권한을 가로채어 악성코드를 삽입 |
| 6. 내부 리포지토리 (Private Repositories) |
공격자가 기업 내부에서 사용 중인 코드 저장소에 침입하여 악성코드를 삽입 |
| 7. 공급사 및 협력사 (Suppliers and Business Partners) |
SW 부품 또는 완제품 개발사, 공급사 등으로부터 외부 서비스를 제공받는 경우 관리되지 않는 타사 위험(Risk)이 내부 시스템으로 전이 |
