[서울=뉴시스] 소프트웨어(SW) 공급망 공격이 올해 더욱 과감해질 것으로 전망된다. (그래픽=뉴시스)

<이미지를 클릭하시면 크게 보실 수 있습니다>

[서울=뉴시스]윤정민 기자 = #지난해 5월 국내 한 기업의 토스트 팝업(보통 PC 화면 우측 하단에 나오는 알림창) 광고 프로그램을 악용한 사이버 공격이 발생했다. 이 프로그램은 인터넷 익스플로러(IE) 모듈을 통해 사용자 PC에 광고 콘텐츠를 제공하는 방식으로 운영됐다.

마이크로소프트(MS)가 2022년 6월에 인터넷 익스플로러 지원을 종료한 터라 IE 모듈은 최신 보안 공격 대응에 취약했다. 공격자는 특정 국내 광고 대행사 서버를 공격해 콘텐츠 스크립트에 취약점 코드를 삽입했다. 광고 프로그램이 설치된 PC는 광고 팝업 노출과 함께 악성코드에 감염됐다.

소프트웨어(SW) 공급망 공격이 올해 더욱 과감해질 것으로 전망된다. 보안업계·학계 전문가들은 SW 공급망 공격에 대한 주의를 당부하지만 매년 새로운 사고가 발생하고 있기 때문이다.

사이버시큐리티 벤처스에 따르면 SW 공급망 공격으로 인한 전 세계 연간 피해액이 매년 15% 성장해 2031년에는 1380억 달러(약 202조원)에 달할 전망이다. 이에 과학기술정보통신부, 안랩 등 일부 국내외 주요 보안 기업·기관도 주요 사이버 보안 위협 중 하나로 SW 공급망 공격을 빼놓지 않았다.

SW 하나 망가지니 전 세계 항공 대란…크라우드스트라이크가 준 교훈

[서울=뉴시스] 김명년 기자 = 미국 마이크로소프트(MS)의 클라우드 서비스에 장애가 발생하면서 일부 국내 저비용항공사(LCC) 이스타항공, 제주항공, 에어프레미아의 발권·예약 시스템이 지연되고 있다. 19일 오후 이스타항공 홈페이지에 '서비스 점검중'이라는 문구가 표시돼 있다. 2024.07.19. kmn@newsis.com

<이미지를 클릭하시면 크게 보실 수 있습니다>

디지털 전환에 따라 수많은 SW, 시스템·서비스가 서로 연결되는 '초연결 시대'로 접어들었다. 이에 공격 한 번이면 공급망 내 여러 조직 운영에 타격을 줄 수 있다.

사이버 공격은 아니지만 SW 하나가 문제를 일으킬 경우 전 세계가 마비될 수 있다는 점을 각인시킨 사례가 있다. 지난해 7월 있었던 크라우드스트라이크발(發) 전산 마비 사태다.

미국 사이버 보안 기술 회사인 크라우드스트라이크의 엔드포인트 탐지·대응(EDR) SW '팰컨 센서' 업데이트 버전이 오류를 일으키며 전 세계 항공, 금융, 행정, 의료, 방송 등 곳곳에서 전산 마비를 일으킨 사건이다.

국내에서도 이스타항공, 제주항공 등 일부 항공사 발권 시스템이 영향을 받아 국내 공항에서 탑승 수속이 지연되는 일이 발생했다. MS 게임 서비스 '엑스박스', 펄어비스 '검은사막', 그라비티 '라그나로크 온라인' 등 일부 게임에도 접속 장애가 있었다.

소만사는 "크라우드스트라이크 전산마비 등 대형 사건을 통해 SW공급망 보안 중요성이 부각됐으며 악성코드와 보안취약점을 선제적으로 차단하고 대응할 수 있는 솔루션이 내년 주된 관심사가 될 것으로 보인다"고 말했다.

이 외에 여러 공격 기법을 결합한 복합적인 전술도 눈에 띄게 증가하고 있다. 공격 대상 보안 체계를 우회하고자 악성코드 삽입과 해킹을 융합하는 등이 대표적이다.

지난해 1월 북한 김수키로 추정되는 한 해킹 조직이 국내 건설기술 분야의 한 홈페이지에 악성코드를 유포했다. 이 홈페이지에 로그인하기 위해서는 보안 프로그램 설치가 필요했는데 해당 파일을 변조한 것이다. 변조된 파일이 설치 과정에서 백신 감지에 피할 수 있었던 건 국내 SW 개발사의 유효한 디지털 인증서를 탈취해서 믿을 수 있는 서비스로 위장했기 때문이었다.

공격자는 파일 변조를 통한 '공급망 공격'과 건설·설계 전문가들이 주로 방문하는 홈페이지에 잠복해 악성코드를 퍼뜨리는 '워터링홀' 공격 기법을 결합한 전술을 사용했다. 이로써 홈페이지에 로그인한 일부 지방자치단체·공공기관·기업의 건설·설계 관련 담당자 PC가 감염됐다. 수사당국은 북한 해킹 조직이 최근 현대식 공장을 건설하고자 국내 건설 관련 정보를 빼내고자 이러한 공격을 감행했다고 있다.

안랩은 "공격자는 주로 상대적으로 보안 관리가 취약한 중소 협력업체에 대한 공격을 시도한다. 조직은 SW 공급망 가시성 확보를 위해 협력업체들과 주기적으로 공급망 보안 감사를 실시해야 한다"고 말했다.

"공급망 한 곳 뚫리면 나라가 휘청일 수도"…정부도 팔 걷었다

[그래픽]

<이미지를 클릭하시면 크게 보실 수 있습니다>

SW 공급망 공격을 막기 위해 국내외 보안 기업들은 악성코드·보안 취약점을 선제적으로 차단하고 대응할 솔루션 개발에 집중하고 있다. 각 기업·기관도 공급망 보안 자율 점검 체크리스트를 개발하는 등 대응책 마련에 나섰다.

기업뿐만 아니라 전 세계 주요국 정부도 SW 공급망 공격 방지책 마련에 나섰다. 소프트웨어 구성요소 명세서(SBOM) 기반의 SW 공급망 보안관리체계를 구축하고 제로 트러스트 가이드라인을 만드는 등의 방식이다.

예를 들어 미국 바이든 행정부는 2021년 사이버보안 행정명령을 통해 연방기관에 납품하는 SW에 대해 SBOM 제출을 의무화했다. 유럽연합(EU)에서도 지난해 10월 SBOM 제출을 명문화한 사이버복원력법(CRA)이 통과됐다. 제조사는 EU 지역에 디지털 제품 수출 시 새 규정에 맞춰 SBOM을 작성해 취약점이 없다는 걸 증명해야 한다.

우리나라에서도 과학기술정보통신부, 국가정보원, 디지털플랫폼정부위원회가 지난해 5월 'SW 공급망 보안 가이드라인 1.0'을 발표했다. 최근에는 사이버 보안 강화를 위해 범정부 소프트웨어 공급망 보안 태스크포스(TF)를 발족했다. SW 공급망 보안 제도 시행을 목표로 로드맵을 마련하겠다는 방침이다. 제도에는 국가·공공기관 디지털 제품 도입·운영을 위한 공급망 보안 기준과 대책 마련, 민간 기업 사이버 보안 강화, 전문인력 확보 등이 포함됐다.

☞공감언론 뉴시스 alpaca@newsis.com

▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개