카스퍼스키 ‘XZ부터 Crowdstrike까지 - 공급망 공격의 영향과 향후 전망’ 발표
공급망 공격은 세계 경제에 큰 영향을 미치고 공급망 마비 불러올 수 있어
Crowdstrike와 XZ Utils에 발생한 공격을 자세히 살펴보고 공급망 공격을 해결하기 위한 조직의 완화 전략을 제시
세계화와 디지털화가 진행됨에 따라 세계 경제의 상당 부분을 스마트폰과 노트북과 같은 기술에 크게 의존하게 됐다. 이로 인해 소프트웨어와 보안 프로그램에 대한 제조사의 정기 업데이트가 중요해졌다. 여러 개체, 리소스, 상품 및 서비스가 복잡하게 구성된 이 네트워크는 오늘날 우리가 알고 있는 국제 무역, 여행 및 상거래를 가능하게 하는 공급망을 형성한다.
이러한 소프트웨어 업데이트를 실행하기 위해 제조사가 기기 업데이트를 푸시할 때 해당 업데이트에 악성코드나 오류가 없다는 특정 수준의 절대적 신뢰가 부여된다. 이 절대적 신뢰로 인해 공급망 공격은 매력적인 목표가 된다. 제조사 인프라에 대한 접근 권한을 획득함으로써 공격자는 정상적인 소프트웨어 업데이트에 악성코드를 주입할 수 있으며, 이는 가장 효율적이고 위험한 공격 벡터 중 하나가 될 수 있다.
이러한 공격 벡터는 새로운 개념이 아니며, 최근 몇 년 사이에 발생한 ShadowPad, CCleaner 및 ShadowHammer와 같은 공격 시도는 확실한 목표를 가진 공격자는 가장 견고한 네트워크도 침투할 수 있음을 보여준다. 하지만 얼마 전에 발생한 Crowdstrike 사건은 공급망의 중요성과 공격이 성공할 경우의 막대한 피해를 입증한 사례로, 공급망의 취약성과 현대 사회의 공급망 의존도에 대한 새로운 의문을 던져줬다.
카스퍼스키 연구결과의 주요 내용은 다음과 같다.
Crowdstrike - 전 세계적 마비
2024년 7월 19일(금) 협정세계시(UTC) 오전 4시 9분을 기점으로 약 2~3일 동안 세계 경제가 멈추는 사고가 발생했다. 윈도(Windows) 운영 체제에 대한 커널 접근권한을 가진 소수의 회사 중 하나인 미국 사이버보안 회사 CrowdStrike가 발행한 콘텐츠 구성 업데이트가 사고의 원인이었다.
카스퍼스키 글로벌 위협 정보 분석 팀(GReAT)의 사이버 보안 전문가 Vitaly Kamluk는 “Crowdstrike의 구성 업데이트는 Falcon 플랫폼의 보호 메커니즘에 대한 정기 업데이트로, 원격 분석 자료를 수집하고 윈도 플랫폼에 발생할 수 있는 새로운 위협 기법을 탐지하는 역할이었어야 했다. 하지만 안타깝게도 이번 업데이트는 전 세계 850만 대의 윈도 컴퓨터에서 끝도 없이 재부팅이 실시되는 문제를 초래했다”고 설명했다.
언론 보도에 따르면 병원, 은행, 항공사 등의 중요 인프라를 비롯해 미국 항공우주국(NASA), 연방거래위원회(FTC), 국가 핵안보청(NNSA)과 같은 미국 정부의 핵심 인프라와 911 콜센터, 필리핀 정부 웹사이트 등 Crowdstrike로 보호되는 윈도 시스템을 사용하는 곳에서 잘못된 업데이트로 인해 피해를 보고 업무를 수행하지 못했다. 이번 사태는 전례 없는 규모의 재정적 손실과 함께 역대 최악의 정전 사고로 기록되고 있다.
센서 버전 7.11 이상을 실행하며 2024년 7월 19일(금) 오전 4시 9분(UTC)부터 2024년 7월 19일(금) 오전 5시 27분(UTC) 사이에 온라인 상태였으며, 업데이트를 받은 윈도 호스트가 피해를 입었다. 맥(Mac) 및 리눅스(Linux) 호스트는 영향을 받지 않았다. 근본적으로 이 시나리오는 APT에 의해 실행된 것이 아니라 잘못된 소프트웨어 업데이트로 발생한 것이지만, 공급망 공격이 완벽하게 실행될 경우 발생할 수 있는 여파를 보여줬다. 하지만 이번 사건이 공급망 오류의 첫 사례는 아니며, 정교한 작전으로 실행된 Linux XZ 라이브러리 공격과 같은 사건이 이미 이전에 일어난 바 있다.
Linux XZ - 양의 탈을 쓴 늑대
2024년 초반에 무료 데이터 압축 명령줄 도구와 라이브러리로 구성된 Linux XZ Utils 프로젝트가 한 공급망 성격의 공격에 의해 감염된 것이 발견됐다. 당시 발견된 악성코드는 고도로 복잡하고 정교한 백도어 프로그램으로, OpenSSH의 로직을 조작해 무단 액세스가 가능하도록 높은 수준의 난독화와 은닉 기술이 사용돼 있었다. SSH는 기업 서버, IoT 장치, 네트워크 라우터, 네트워크 연결 스토리지 장치 등 다양한 장치를 안전하게 운영하기 위한 암호화 네트워크 프로토콜의 이름이기도 하다.
현재 사물인터넷(IoT), 수백만 대의 서버, 데이터 센터 및 네트워크 장비에 연결된 수천만 대의 가정용 기기가 SSH에 의존하고 있어 이 문제는 Crowdstrike 사건을 능가하는 재앙으로 이어질 수도 있다. 오픈소스 소프트웨어 기업 Red Hat은 이 사건이 NIST National Vulnerability Database에 사례 CVE-2024-30942로 추적되고 있으며, 공격자들에게 이 취약점이 악용될 가능성을 감안해 심각도 점수는 10점으로 지정됐다고 밝혔다.
포렌식 분석에서 JiaT75라는 GitHub 사용자에 의해 커밋이 실행된 것으로 드러났다. 이 사용자는 XZ Utils 프로젝트 팀에 합류해 2021년부터 XZ 프로젝트에 기여한 ‘Jia Cheong Tan’으로도 알려져 있다. JiaT75의 정체는 하나의 계정으로 여러 명의 공격자들이 작업한 것으로 보이며, 이 계정은 싱가포르 VPN을 사용해 UTC+8 시간대에 운영된 것으로 알려졌다.
양의 탈을 쓴 늑대처럼 JiaT75는 다른 참여자들과 친분을 쌓고 긍정적으로 기여하면서 오랜 시간에 걸쳐 신뢰를 형성해 XZ 프로젝트 아카이브에 대한 유지관리 권한을 획득했고, 커밋을 병합하는 중요한 권한까지 손에 넣었다. XZ/libzma 빌드가 일련의 복잡한 난독화를 통해 수정 및 은닉돼 일부 운영체제에서 SSH의 종속성으로 사용된 결과, 감염된 시스템에 무제한으로 접근할 수 있었던 것으로 밝혀졌다.
이 사건은 다행히 적시에 발견돼 조사가 진행 중이지만 소셜 엔지니어링이 오픈소스 소프트웨어의 특성과 결합되면 공급망 공격의 또 다른 경로가 될 수 있는 가능성을 시사한다.
카스퍼스키는 이 사례에 대해 포괄적인 분석과 여기서 사용된 소셜 엔지니어링 전술에 대한 연구를 실시했다.
AI가 통합된 미래 사회의 위협 환경 전망
스마트 시티의 인프라를 최적화하고 보건, 교육, 농업 등의 분야를 강화하는 데 AI의 여러 측면이 활용되면서 AI가 사회 깊숙이 들어오고 있다. 다른 어느 기술과도 마찬가지로 AI는 완벽한 기술이 아니다. AI는 의미 있는 입력을 도출하기 위해 학습 모델과 트레이닝에 의존하며, 이 과정에서 악성 입력을 인젝션함으로써 공급망 공격의 대상이 될 수 있다.
Vitaly는 “AI에 대한 공급망 공격의 잠재적 경로로는 트레이닝 데이터를 조작해 모델에 편향성과 취약점을 주입하거나 AI 모델을 변형된 모델로 수정해 잘못된 결과를 생성하도록 하는 방법이 있다”고 밝혔다. 또한 “이러한 동작은 탐지하기 어려울 수 있으므로 오랜 기간 악성 활동이 탐지되지 않도록 할 수 있다”고 덧붙였다.
장기 공격을 하는 APT의 경우 공급망 공격은 적절한 목표물을 찾을 때까지 정체를 숨기고 기다리면서 악성코드 페이로드를 난독화해 합법적인 파일로 위장하고, 신뢰받는 회사의 인프라에 확장 도구를 설치해 더 높은 수준의 액세스 권한을 얻거나 궁극적으로는 전체 시스템을 감염시킬 수 있다. 더 심각한 문제는 AI를 목표로 한 공급망 공격에 버그나 오류가 도입됨에 따라 시간이 지나면서 AI의 성능과 품질이 저하될 수 있다는 점이다. 이는 일종의 시한폭탄과도 같은 문제로, 광범위하게 사용되거나 중대한 역할을 하는 시스템에 큰 영향을 미칠 수 있다.
챗GPT(ChatGPT), 코파일럿(CoPilot) 및 제미니(Gemini)와 같이 쉽게 이용할 수 있는 대형 언어 모델(LLM)은 조작돼 그럴싸한 스피어 피싱 공격을 생성하는 데 활용될 수 있으며, AI 딥페이크는 중요 인물로 가장하는 데 사용될 수 있다. 실제로 홍콩에서 사기꾼이 한 회사의 최고 재무 담당자의 모습을 모방해 자금을 이체하도록 만들어 2500만달러의 손실을 입은 사건이 있었다.
약 20년의 세월 동안 카스퍼스키 AI 기술 연구 센터의 전문가들은 사이버 보안에 AI를 적용하고 윤리적 AI를 개발하는 데 앞장서왔다. 이 팀의 AI 전문성은 다양한 카스퍼스키 제품에 적용돼 AI 강화 위협 탐지 및 경고 우선순위 지정부터 생성형 AI로 구동되는 위협 인텔리전스에 이르기까지 카스퍼스키 제품 전반을 향상시키고 있다.
미래에 발생할 수 있는 공급망 공격의 위험을 해소하기 위해 조직은 다양한 전략을 갖춰야 한다. Vitaly는 “최고의 사이버 보안 모범사례를 적용하는 것 외에도 조직은 그들의 인프라에 공급망 공격이 발생할 경우의 피해를 관리하거나 최소화하기 위한 완화 전략을 실행해야 한다”고 강조했다.
이러한 전략에는 빌드가 실제로 배포되기 전 엄격한 테스트 실시, 철저한 도구 무결성 및 엄격한 제조 관리, 변경 사항과 버전을 추적하기 위한 모델 버전 번호 및 모델 검증, 비정상 징후에 대한 지속적인 모니터링, 빌드의 디지털 서명 및 정기적인 보안 감사가 포함된다.
이번 연구에 대한 보다 자세한 내용은 카스퍼스키 웹사이트(www.kaspersky.co.kr)에서 확인할 수 있다.
카스퍼스키랩코리아 소개
1997년 설립된 글로벌 사이버 보안 및 디지털 개인정보보안 전문 회사 카스퍼스키는 10억 개 이상의 기기를 최신 사이버 위협과 표적형 공격으로부터 보호하며, 심층적인 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 솔루션과 서비스를 제공하고 있다. 세계 최고 수준의 엔드포인트 보호 솔루션, 특수 보안 제품 및 서비스, 사이버 면역 솔루션 등을 포함한 광범위한 보안 포트폴리오를 통해 카스퍼스키는 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있다. 22만이 넘는 기업 고객이 카스퍼스키를 통해 중요 자산을 보호하고 있다. 자세한 내용은 홈페이지를 참조하면 된다.
웹사이트: http://www.kaspersky.co.kr
연락처
카스퍼스키 총판
다우데이타
박준용 과장
이메일 보내기