제2의 솔라윈즈, 소프트웨어 공급망 공격을 피하기 위해선?!

여러분은 공급망 공격에 대해 알고 계신가요?

공급망 공격은 서드파티 공격(3rd party attack)이라고도 불리우며, 자사의 시스템이나 데이터에 접근할 수 있는 공급망의 프로세스 전 과정에서 상대적으로 취약한 부분을 공략하여 공격하는 방식을 말합니다. 공급망 공격은 한 단계에서 발생한 공격이 공급망 전체(공급업체, 자사, 협력업체 등)에 연쇄적으로 영향을 줄 수 있기 때문에 매우 위협적인 공격인데요. 오늘은 이 중 기업이 사용하는 소프트웨어의 취약점을 공격 대상으로 삼아 해킹하는 방법인 SW(소프트웨어) 공급망 공격에 대해 이야기해보고자 합니다. 2020년에 발생한 솔라윈즈 사태를 그 대표적인 사례로 볼 수 있죠.

 

솔라윈즈는 기업용 SW를 개발 및 판매하는 회사인데요. 해커들이 이러한 솔라윈즈의 SW제품 공급망 서버를 공격해 18,000개 이상의 기업 및 기관이 피해를 입은 엄청난 사건이 있었습니다. 이 사건으로 피해를 입은 곳에 미국의 주요 안보 기관 뿐만 아니라, 세계적인 보안 기업까지 포함돼 있어 큰 충격을 줬죠! 아무래도 크게 이슈가 됐던 사건이니 많은 분들께서 알고 계실 거라 생각됩니다.

솔라윈즈 사태 이후 SW 공급망 공격에 대한 관심이 크게 증가했는데요. 그럼에도 여전히 SW 공급망 공격에 대한 국내 반응은 뜨뜻미지근한 편인 것 같습니다. 실제로 전 세계를 떠들썩하게 했던 사건이 여럿 있었지만 거대한 글로벌 조직의 피해 사례만 보도되기도 했고, 국내 피해 사례는 찾아보기가 힘든 게 사실이죠.

그렇다면, 비교적 규모가 작은 국내 조직들은 SW 공급망 공격에 대해 정말로 걱정할 필요가 없을까요?

 

 

글로벌 IT 시장조사 전문 기업인 가트너(Gartner)에서는 최근 보안 및 리스크 관리 트렌드를 발표했습니다. 이를 통해 전 세계 조직(공기업 및 사기업)의 45%가 2025년까지 SW 공급망 공격을 경험하게 될 것이라고 예측했는데요. 이는 2021년과 비교해 무려 3배가 증가한 수치임과 동시에, 어림잡아 두 조직 중 한 조직은 SW 공급망 공격 위협에 노출돼 있음을 의미합니다. 이제 어떤 조직도 자신 있게 ‘우리는 SW 공급망 공격으로부터 안전하다’고 말 할 수 없어 보입니다.

특히, 가트너는 대응 방안으로 기존의 접근 방식을 뛰어넘어 더 광범위한 보안 노출을 관리해야 한다고 조언했는데요. SW 공급망 공격의 가장 무서운 부분이 바로 ‘공격 표면이 넓어진다’는 점이기 때문입니다. 즉, 우리 조직만 관리한다고 해결되는 문제가 아니라는 것이죠.

 

그렇기 때문에 SW 개발 단계에서부터 철저한 보안 대책이 필요한데요. 개발 중과 후, 오픈소스 및 써드파티 구성 분석을 점검하는 SAST, DAST, SCA 등의 솔루션 도입이 필수적이죠.

공급망을 통해 타 조직의 소스나 소프트웨어를 이용하게 될 때 취할 수 있는 대응 방안도 있는데요. 현재 가장 많이 사용하는 방법은 SBOM(Software Bill of Materials)관리입니다. SBOM은 SW 구축에 사용되는 구성요소의 목록을 정리하는 방법인데요. SW의 ‘영양성분표’라고 생각하면 이해하기 쉽습니다! SW 구성 혹은 도입 시에 영양성분표를 만들어 어떤 구성 요소가 취약점이 있는지 점검하며 기록 및 분석하는 것이죠.

그런데 사실 이렇게 보안 범위를 확대하여 SW 공급망 공격에 대비를 해도 단일 조직 단위에서 SW 공급망 공격을 완벽하게 분석하고 예방한다는 것은 불가능에 가깝습니다. 우리 조직이 대비를 잘했다 할지라도, 공급업체나 관계사, 고객사 등 SW 공급망이 연계된 어떤 곳에서든지 사이버 위협의 영향을 받을 수도, 반대로 줄 수도 있죠. 그렇다면 단일 조직 단위에서 SW 공급망 공격으로부터 자산을 보호하기 위한 방안은 없을까요?

SW 공급망 공격의 가장 큰 위협 요소는 바로 기업 및 기관과 관련된 중요 데이터가 유출될 수 있다는 것입니다. 데이터가 그 자체로 조직의 자산이기 때문이죠. 그렇기에 데이터 중심 보안을 기반으로 철저한 대비 방안을 마련해야만, SW 공급망 공격에 대한 피해를 최소화할 수 있습니다!

 

 

철저한 데이터 보안을 위해서는 사내에 어떤 데이터가 있는지, 어떤 데이터를 보호해야 하는지 파악하는 것이 첫 번째로 필요합니다. 우리가 가지고 있는 데이터를 식별하고 분류하는 작업이 먼저 진행돼야 하는 것이죠.

Fasoo Data Radar (이하 FDR, 파수 데이터 레이더)는 기업 및 기관이 보유한 서버, PC 등 다양한 저장소의 데이터에 대해 중요 수준을 식별 및 분류합니다. 중요도에 따라 허가 권한을 통제하고 사용 용도를 추적 및 분석하며, 취약점에 맞춰 다양한 보안 정책을 적용합니다. 어떤 데이터가 보호가 필요한 데이터인지, 해당 데이터는 어디에 있는지, 누가 얼마나 가지고 있는지, 보호 정책은 적용됐는지 등을 확인하고 적합한 조치까지 취할 수 있는 것이죠!

 

 

모든 사내 데이터에 대한 통합적인 보안 조치가 필요하다면 Fasoo Enterprise DRM (이하 FED, 파수 엔터프라이즈 디알엠)이 해답이 될 수 있습니다. FED는 조직의 데이터 자체를 암호화해 허용된 권한 내에서만 사용하도록 제어함으로써 데이터 중심 보안을 실현합니다. 더불어, 세세한 보안 정책으로 화면 정보, 인쇄물, 모바일 기기까지 다양한 사용 환경을 모두 고려해 전방위적 보안 기능을 제공합니다.

 

FDR과 FED는 DRM 기반의 보안 정책으로, ‘데이터 자체’를 보호함으로써 데이터가 어느 위치에 존재하든지 권한자가 아니라면 그 내용을 확인할 수 없습니다. 즉, 서로 연결된 SW 공급망 환경에서 공격을 받아 중요 파일이 유출된다 하더라도, 그 안의 데이터는 보안이 적용돼 열어보는 것이 불가능하다는 뜻입니다.

지금까지 SW 공급망 공격에 대해 데이터 보안의 측면에서 말씀드렸는데요. FDR, FED와 함께라면SW 공급망 공격으로부터 조직의 데이터를 안전하게 보호할 수 있습니다!

2025년까지 전 세계 45% 조직의 SW 공급망 공격 노출, 이제 더 이상 뉴스에서만 보던 남의 일이 아닙니다. 파수와 함께 SW 공급망 공격에 지금 바로 대비를 시작 하셔야 합니다.

 

 

>> 파수 FDR(Fasoo Data Radar)자세히 보러 가기

https://www.fasoo.com/products/fasoo-data-radar

 

>> 파수 FED(Fasoo Enterprise DRM)자세히 보러 가기

https://www.fasoo.com/products/fasoo-enterprise-drm