![](http://t1.daumcdn.net/tistory_admin/static/images/xBoxReplace_250.png)
2020년 전세계 IT업계를 뒤흔든 사건이 있었습니다.
바로 솔라윈즈(SolarWinds) 사태인데요, 솔라윈즈는 포춘 1000대 기업을 다수로 고객으로 둔 소프트웨어 제공 업체였습니다.
![](http://t1.daumcdn.net/tistory_admin/static/images/xBoxReplace_250.png)
해당 사건은 한 공격자 단체가 솔라윈즈 내부 망에 침투해 솔라윈즈의 솔루션 ‘오리온’에 악성 코드를 심었고 그 결과 오리온을 사용하는 기업, 기관들이 버전을 업데이트하는 과정에서 악성코드가 유포되었습니다.
그 결과 1만 8천 곳 가량에 악성 코드가 배포되어 설치 되었습니다. 공격자들 입장에서는 한 회사만 공격 했을 뿐인데 무료 1만 8천여 개의 표적이 생겨버린 셈이죠. 이러한 공격을 바로 공급망 공격이라고 합니다.
![](http://t1.daumcdn.net/tistory_admin/static/images/xBoxReplace_250.png)
올해 11월 금융 보안원이 발표한 2023년 디지털 금융 및 사이버보안 이슈에서도 세 번째로 이름 올린 것이 바로 ‘오픈 소스 이용 활성화와 강조되는 공급망 보안’ 이었습니다. 공급망 공격의 파급력이 매우 클 뿐 아니라 피해자 입장에서는 불가항력적인 수준의 재앙이 될 수 있기 때문에 공급망 보안에 대한 중요성이 더욱 커지고 있는데요.
![](http://t1.daumcdn.net/tistory_admin/static/images/xBoxReplace_250.png)
오늘은 공급망 공격에 대해 자세하게 알아보고
제로 트러스트와의 관계를 살펴보겠습니다.
공급망이란?(Supply Chain)
공급망이란 유무형의 상품의 생산부터 판매까지 포함된 모둔 개인, 조직, 자원, 활동, 기술 및 비즈니스 프로세스의 네트워크를 뜻합니다.
이를 소프트웨어에 적용해보겠습니다.
![](http://t1.daumcdn.net/tistory_admin/static/images/xBoxReplace_250.png)
소프트웨어 공급망은 소프트웨어를 개발, 구축 및 배포하는 데 사용되는 구성 요소, 라이브러리, 도구 및 프로세스의 네트워크를 뜻할 수 있습니다.
여기서 소프트웨어 공급업체는 종종 오픈 소스 및 상용 소프트웨어 구성 요소를 조합하여 솔루션을 만들기 때문에 오픈 소스 하나에서 취약점이 발견된다면 그에 따른 잠재적인 보안 위험이 상승하게 되고 소프트웨어를 사용하는 모든 디바이스, 유저, 기업 및 조직이 사이버 공격을 당할 수 있게 되는 것이죠.
공급망 공격이란?(Supply Chain Attack)
여기서 잠깐 언급하였듯이 소프트웨어의 관점에서공급망공격(Supply Chain Attack)이란 공격자가 악성 코드를 신뢰할 수 있는 소프트웨어에 삽입하여 사용자의 시스템에 침투하는 공격 수법을 말합니다.
![](http://t1.daumcdn.net/tistory_admin/static/images/xBoxReplace_250.png)
이를 통해 악성 소프트웨어가 정상 소프트웨어인 것처럼 꾸며지게 되고, 소프트웨어 업데이트 등으로 감염된 업체의 고객 네트워크에도 침투할 발판을 마련할 수 있게 됩니다. 그 결과, 수백 또는 수천 명의 희생자가 발생하기도 합니다.
제로 트러스트란? (Zero Trust)
이러한 공급망 공격에 대비하기 위해 사용자 기업이나 기관에서 할 수 있는 건 ‘제로트러스트’의 도입이라고 할 수 있습니다.
제로트러스트란 조직의 네트워크 내부 또는 외부에 관계없이 모든 사용자가 애플리케이션 및 데이터에 대한 액세스 권한을 부여받거나 유지하기 전에 보안 구성 및 상태에 대해 인증, 권한 부여 및 지속적으로 검증되도록 요구하는 보안 프레임워크입니다.
다른 말로 경계 없는 보안이라고 하는데요, 한 마디로 그 누구도 믿지 않는다는 것입니다.
![](https://blog.kakaocdn.net/dn/d0Wa5u/btrQZryyiHA/6aEEO3uKHKUBXdBSLOkZuk/img.jpg)
한 연구에 따르면 공급망 공격의 66%의 경우 공급업체가 어떻게 사이버 공격에 침해되었는지 알지 못하거나 보고하지 못한 것으로 나타났습니다. 이러한 상황에서 공급망 공격으로부터 스스로를 보호하기 위해 조직은 네트워크 보안의 측면에서 기존에 가졌던 "신뢰하지만 검증하는" 접근 방식을 뛰어넘어 더 강력하고 안정적인 "절대 신뢰하지 않고 항상 확인하는" 보안 접근 방식을 채택해야 합니다.
이러한 전 세계적인 움직임에 따라 국내 과학기술정보통신부도 지난 10월 ‘아무것도 신뢰하지 않는다’ 디지털 질서를 위한 새로운 보안 패러다임 마련이라는 이름으로 제로트러스트・공급망 보안 포럼을 출범하여 제로트러스트와 공급망 보안이 국내 정보보호 환경에 도입될 수 있도록 논의하고 있습니다.
![](https://blog.kakaocdn.net/dn/EdIDA/btrQXh5kfhY/0wDMQscc4cTXuOJegqkAPk/img.png)
이러한 국내외의 흐름 가운데
여러분의 기업과 조직은 앞으로 변화하게 될 보안 패러다임의 변화에 충분히 대응하고 있나요?
위드네트웍스는 지난 10여년 간 매지니드 보안 시장의 선도 주자로서 축적된 노하우와 인프라를 기반으로 Global New Technology 기반의보안 솔루션을 개발할 뿐 아니라 클라우드, 5G, 와이파이 등 디지털 트랜스포메이션의 기반이 되는 인프라를 구축하여 4차 산업 혁명을 선도하고 있습니다.
또한 다양한 보안 전문 기술/컨설팅 노하우 및 지능형 보안 플랫폼을 통하여 고객사 환경에 최적화된 정보 보안 및 IT 인프라를 구축하고 있습니다. 여러분의 비즈니스를 안정적으로 운영하기 위한 도움과 다가올 보안 이슈에 대응하기 위해 도움이 필요하시다면 언제든지 자유롭게 연락해주세요!
위드네트웍스는 여러분의 비즈니스를 응원합니다!
![](https://blog.kakaocdn.net/dn/bnm45c/btrQZgYc7LK/RFbtfTS2PGitYJbwBKdqV1/img.jpg)
![](https://blog.kakaocdn.net/dn/J8e6i/btrQV0CSWi8/VEBCs5lK1STpMYsHlprqg1/img.jpg)
'보안 Information' 카테고리의 다른 글
보안 사고 관리를 위한 5가지 중요 지표(MTTD, MTTR, 오탐율, 결정 탐지, 결정 속도) - 위드네트웍스 (0) | 2023.01.30 |
---|---|
소프트웨어 공급망 공격과 그 대안! - 위드네트웍스 (0) | 2022.11.29 |
크리덴셜 스터핑 공격의 5 단계 - 위드네트웍스 (0) | 2022.01.17 |
방화벽 없이도 보안 체계 구축이 가능하다? (feat. withFLOW) - 위드네트웍스 (0) | 2021.10.07 |
방화벽 정책 통합관리를 위한 5가지 팁! - 위드네트웍스 (0) | 2021.09.16 |