2020년 전세계 IT업계를 뒤흔든 사건이 있었습니다.
바로 솔라윈즈(SolarWinds) 사태인데요, 솔라윈즈는 포춘 1000대 기업을 다수로 고객으로 둔 소프트웨어 제공 업체였습니다.
해당 사건은 한 공격자 단체가 솔라윈즈 내부 망에 침투해 솔라윈즈의 솔루션 ‘오리온’에 악성 코드를 심었고 그 결과 오리온을 사용하는 기업, 기관들이 버전을 업데이트하는 과정에서 악성코드가 유포되었습니다.
그 결과 1만 8천 곳 가량에 악성 코드가 배포되어 설치 되었습니다. 공격자들 입장에서는 한 회사만 공격 했을 뿐인데 무료 1만 8천여 개의 표적이 생겨버린 셈이죠. 이러한 공격을 바로 공급망 공격이라고 합니다.
올해 11월 금융 보안원이 발표한 2023년 디지털 금융 및 사이버보안 이슈에서도 세 번째로 이름 올린 것이 바로 ‘오픈 소스 이용 활성화와 강조되는 공급망 보안’ 이었습니다. 공급망 공격의 파급력이 매우 클 뿐 아니라 피해자 입장에서는 불가항력적인 수준의 재앙이 될 수 있기 때문에 공급망 보안에 대한 중요성이 더욱 커지고 있는데요.
오늘은 공급망 공격에 대해 자세하게 알아보고
제로 트러스트와의 관계를 살펴보겠습니다.
공급망이란?(Supply Chain)
공급망이란 유무형의 상품의 생산부터 판매까지 포함된 모둔 개인, 조직, 자원, 활동, 기술 및 비즈니스 프로세스의 네트워크를 뜻합니다.
이를 소프트웨어에 적용해보겠습니다.
소프트웨어 공급망은 소프트웨어를 개발, 구축 및 배포하는 데 사용되는 구성 요소, 라이브러리, 도구 및 프로세스의 네트워크를 뜻할 수 있습니다.
여기서 소프트웨어 공급업체는 종종 오픈 소스 및 상용 소프트웨어 구성 요소를 조합하여 솔루션을 만들기 때문에 오픈 소스 하나에서 취약점이 발견된다면 그에 따른 잠재적인 보안 위험이 상승하게 되고 소프트웨어를 사용하는 모든 디바이스, 유저, 기업 및 조직이 사이버 공격을 당할 수 있게 되는 것이죠.
공급망 공격이란?(Supply Chain Attack)
여기서 잠깐 언급하였듯이 소프트웨어의 관점에서공급망공격(Supply Chain Attack)이란 공격자가 악성 코드를 신뢰할 수 있는 소프트웨어에 삽입하여 사용자의 시스템에 침투하는 공격 수법을 말합니다.
이를 통해 악성 소프트웨어가 정상 소프트웨어인 것처럼 꾸며지게 되고, 소프트웨어 업데이트 등으로 감염된 업체의 고객 네트워크에도 침투할 발판을 마련할 수 있게 됩니다. 그 결과, 수백 또는 수천 명의 희생자가 발생하기도 합니다.
제로 트러스트란? (Zero Trust)
이러한 공급망 공격에 대비하기 위해 사용자 기업이나 기관에서 할 수 있는 건 ‘제로트러스트’의 도입이라고 할 수 있습니다.
제로트러스트란 조직의 네트워크 내부 또는 외부에 관계없이 모든 사용자가 애플리케이션 및 데이터에 대한 액세스 권한을 부여받거나 유지하기 전에 보안 구성 및 상태에 대해 인증, 권한 부여 및 지속적으로 검증되도록 요구하는 보안 프레임워크입니다.
다른 말로 경계 없는 보안이라고 하는데요, 한 마디로 그 누구도 믿지 않는다는 것입니다.
한 연구에 따르면 공급망 공격의 66%의 경우 공급업체가 어떻게 사이버 공격에 침해되었는지 알지 못하거나 보고하지 못한 것으로 나타났습니다. 이러한 상황에서 공급망 공격으로부터 스스로를 보호하기 위해 조직은 네트워크 보안의 측면에서 기존에 가졌던 "신뢰하지만 검증하는" 접근 방식을 뛰어넘어 더 강력하고 안정적인 "절대 신뢰하지 않고 항상 확인하는" 보안 접근 방식을 채택해야 합니다.
이러한 전 세계적인 움직임에 따라 국내 과학기술정보통신부도 지난 10월 ‘아무것도 신뢰하지 않는다’ 디지털 질서를 위한 새로운 보안 패러다임 마련이라는 이름으로 제로트러스트・공급망 보안 포럼을 출범하여 제로트러스트와 공급망 보안이 국내 정보보호 환경에 도입될 수 있도록 논의하고 있습니다.
이러한 국내외의 흐름 가운데
여러분의 기업과 조직은 앞으로 변화하게 될 보안 패러다임의 변화에 충분히 대응하고 있나요?
위드네트웍스는 지난 10여년 간 매지니드 보안 시장의 선도 주자로서 축적된 노하우와 인프라를 기반으로 Global New Technology 기반의보안 솔루션을 개발할 뿐 아니라 클라우드, 5G, 와이파이 등 디지털 트랜스포메이션의 기반이 되는 인프라를 구축하여 4차 산업 혁명을 선도하고 있습니다.
또한 다양한 보안 전문 기술/컨설팅 노하우 및 지능형 보안 플랫폼을 통하여 고객사 환경에 최적화된 정보 보안 및 IT 인프라를 구축하고 있습니다. 여러분의 비즈니스를 안정적으로 운영하기 위한 도움과 다가올 보안 이슈에 대응하기 위해 도움이 필요하시다면 언제든지 자유롭게 연락해주세요!
위드네트웍스는 여러분의 비즈니스를 응원합니다!
'보안 Information' 카테고리의 다른 글
| 보안 사고 관리를 위한 5가지 중요 지표(MTTD, MTTR, 오탐율, 결정 탐지, 결정 속도) - 위드네트웍스 (0) | 2023.01.30 |
|---|---|
| 소프트웨어 공급망 공격과 그 대안! - 위드네트웍스 (0) | 2022.11.29 |
| 크리덴셜 스터핑 공격의 5 단계 - 위드네트웍스 (0) | 2022.01.17 |
| 방화벽 없이도 보안 체계 구축이 가능하다? (feat. withFLOW) - 위드네트웍스 (0) | 2021.10.07 |
| 방화벽 정책 통합관리를 위한 5가지 팁! - 위드네트웍스 (0) | 2021.09.16 |
