공급망 공격으로 이어질 수 있는 보안 침해를 막기 위해 하나의 사이버보안 위험 관리 프레임워크로 해결책을 찾으려는 데브옵스 리더는 어려움을 겪을 수 있다고 최근 연구 보고서가 전했다.

코넬대학교의 학술 원고 저장소인 아카이브(arXiv)에 제출된 논문에서 노스캐롤라이나주립대학교 소속 연구원 4명, 야후 소속 1명, 그리고 다른 기관 소속 연구원 1명 등 총 6명의 연구원은 애플리케이션 개발팀이 수행해야 할 핵심 작업을 우선순위별로 정리해 개발 과정에서 발생할 수 있는 보안 침해를 줄이고 애플리케이션이 사용자 공격에 악용되는 위험을 완화할 수 있다고 설명했다.

연구팀은 솔라윈즈 오리온(SolarWinds Orion), 로그4j(log4J), XZ 유틸즈(XZ Utils) 등 3가지 주요 애플리케이션에서 발생한 침해 사례를 분석했다. 여기서 사용된 114가지 공격 기법을 미국 국립표준기술연구소(NIST)의 ‘안전한 소프트웨어 개발 프레임워크’를 포함한 10가지의 보안 프레임워크에서 제안하는 73가지 권장 작업과 비교해, 어떤 작업이 실제 위협을 줄이는 데 효과적인지를 평가했다.

하지만 연구팀은 모든 보안 프레임워크에서 공통적으로 빠져 있는 3가지 완화 요소가 있다고 지적했다. 이는 어떤 단일 프레임워크도 애플리케이션의 모든 취약점을 완벽히 막을 수 없다는 점을 보여준다. 연구팀이 분석한 누락된 3가지 요소는 다음과 같다.

• 오픈소스 소프트웨어의 지속 가능성을 확보하는 것
• 외부 위협을 감지할 수 있는 환경 스캐닝 도구를 갖추는 것
• 애플리케이션 협력사가 자체 취약점을 보고하도록 하는 체계를 마련하는 것

SANS 인스티튜트(SANS Institute) 연구 책임자인 요하네스 울리히도 연구팀의 의견에 동의했다. 울리히는 이메일에서 “어떤 프레임워크도 완벽하지 않다. 하지만 그건 괜찮다. 소프트웨어 공급망은 고립된 상태로는 보호할 수 없다. 데브옵스 리더는 조직 내 다른 부서와 협력해 어떤 부분에 보안 공백이 있는지 파악해야 한다. 이런 프레임워트는 그 논의를 시작하는 데 도움이 되는 출발점이다”라고 썼다.

이어 “3가지 누락된 요소에 대해서는 소프트웨어 공급망 보안의 범위를 어디까지로 잡느냐에 따라 달라질 수 있다. 예를 들어 연구팀은 오픈소스 소프트웨어를 계약 관계가 없다는 이유로 ‘공급자’로 보지 않았는데, 라이선스에 따라 느슨하긴 해도 일종의 계약 관계가 존재한다고 본다. 이 점은 상용 소프트웨어와 본질적으로 다르지 않다. 상용 소프트웨어 공급자 역시 언제든지 사라지거나 특정 소프트웨어에 대한 지원을 중단할 수 있다”라고 덧붙였다.

울리히는 누락 요소인 ‘환경 스캐닝 도구’에 대해서도 언급했다. 이 도구가 일반적으로 취약점 관리의 일부로 포함되는 경우가 많지만 상황에 따라 다른 활동이 이 역할을 대신할 수도 있다고 설명했다. 예를 들면, 사고 대응 프레임워크에 포함되는 ‘대응 파트너십’과 위협 인텔리전스의 일부인 ‘협업’이 대표적이다.

울리히는 “프레임워크를 원래 설계된 목적 이상으로 확장하면 공백이 생기기 마련이다. 따라서 이런 프레임워크는 지속적으로 업데이트돼야 한다”라고 강조했다.

최악의 공급망 공격

이번 논문은 ‘클로징 더 체인: 솔라윈즈, 로그4j, XZ 유틸즈처럼 될 위험을 줄이는 방법(Closing the Chain: How to reduce your risk of being SolarWinds, log4J or XZ Utils)’이라는 제목으로 최근 몇 년간 발생한 최악의 공급망 침해 사례 3가지를 다루고 있다.

• 솔라윈즈 : 마이크로소프트는 “최소 1,000명의 고도로 숙련되고 능력 있는 엔지니어”가 이 해킹에 관여했을 것으로 판단했다. 이 공격은 솔라윈즈의 네트워크 관리 제품군 오리온(Orion)의 소프트웨어 업데이트에 ‘선버스트(Sunburst)’라는 악성 코드를 삽입하는 방식으로 이뤄졌다. 솔라윈즈에 따르면 약 1만 8,000곳의 기업이 해당 업데이트를 다운로드했고, 이 가운데 약 100곳이 실제로 침해를 당했다.
• 로그4j : 공격자는 아파치의 오픈소스 로깅 유틸리티인 로그4j에서 발견된 취약점(CVE-2021-44228)을 악용했다. 이 취약점은 ‘로그포셸(Log4Shell)’이라는 이름으로 알려졌으며, CVSS 취약점 심각도 평가 기준에서 최고 점수인 10점을 받았다. 해당 취약점을 통해 공격자는 서버에서 RCE(remote code execution)을 수행할 수 있었다. 로그4j가 다양한 애플리케이션에 광범위하게 사용되기 때문에 실제로 얼마나 많은 IT 네트워크가 침해됐는지는 명확히 파악되지 않았다.
• XZ 유틸즈 : 주요 리눅스 배포판에 포함된 데이터 압축 유틸리티다. 2024년 보도된 바에 따르면, 광범위한 피해가 발생하기 전에 백도어 설치가 적발돼 확산을 막을 수 있었다.

연구팀은 3가지 공격 사례에서 위협 행위자가 사용한 전술을 분석해 10가지 보안 소프트웨어 개발 프레임워크에서 제시하는 권장 작업의 우선순위를 정하고자 했다. 이를 통해 실제 공격을 완화할 수 있었던 프레임워크의 작업 목록이 무엇인지 확인하고, 동시에 기존 프레임워크가 놓치고 있는 보안 공백도 찾고자 하는 것이 목적이었다.

가장 먼저 연구팀은 3가지 공격에 사용된 기법을 다룬 CTI(cyber threat intelligence) 보고서 106건을 분석했다. 이후 해당 기법을 개발자가 수행해야 할 73가지 보안 프레임워크 베스트 프랙티스와 매핑했다. 마지막으로, 공격 기법을 가장 효과적으로 완화할 수 있는 작업을 우선순위로 정해 제시했다.

3가지 공격에서 총 114가지의 고유한 공격 기법이 확인됐지만, 이 중 12가지는 공통적인 것으로 나타났다. 여기에 포함된 기법은 신뢰 관계 악용, 데이터 난독화, 인프라 침해 방식 등이다. 또한 연구팀은 73가지 베스트 프랙티스 중 27가지가 이런 공격을 완화하는 데 효과적일 수 있다고 분석했다.

하지만 연구팀은 이 27가지 권장 완화 작업 중 3가지는 어떤 프레임워크에도 포함돼 있지 않았다고 밝혔다. 여기에는 앞서 언급한 지속 가능한 오픈소스 소프트웨어 사용, 환경 스캐닝 도구 활용 등이 포함된다.

연구팀은 “결국 조직이 모든 권장 작업을 이행하더라도 소프트웨어 제품은 여전히 공급망 공격에 취약할 수 있다”라고 결론지었다.

완화 조치의 ‘스타터 키트’

이번 연구를 통해 연구팀은 가장 높은 완화 점수를 기록한 항목을 기반으로, 개발자가 반드시 채택해야 할 10가지 방어 전략으로 구성된 ‘스타터 키트’를 제시했다. 이들 전략은 ‘선제적 소프트웨어 공급망 위험 관리 프레임워크(Proactive Software Supply Chain Risk Management Framework, P-SSCRM)’에서 선정한 것이다. 10가지 전략은 다음과 같다.

• 역할 기반 접근 제어 적용
• 시스템에 대한 지속적인 모니터링 수행
• 시스템 외부 경계와 주요 내부 경계에서 통신을 감시하고 제어
• 구성 설정 변경 사항에 대한 모니터링
• 임직원 및 외부 계약 인력에 대한 인증 기능 활성화
• 수정 버전이 제공될 경우 취약한 종속 항목을 신속히 업데이트
• 위협 모델링과 공격 표면 분석을 통해 가능한 위협 벡터 식별
• 공급망 참여자 간 신뢰 경계를 넘는 정보 흐름을 최소화
• 휴면 데이터 보호
• 위험도 기반으로 우선순위를 정해 취약점을 신속히 해결

연구진은 이 10가지 완화 전략이 소프트웨어 공급망 보안에만 국한되지 않고, 보다 넓은 범위의 소프트웨어 보안 전반에 적용된다고 설명했다. 아울러 “소프트웨어 공급망 공격을 방지하기에 앞서 일반적인 소프트웨어 보안 작업부터 제대로 수행돼야 한다”라고 강조했다.

보고서 공동 저자인 시바나 해머는 인터뷰에서 이번에 분석한 10가지 보안 프레임워크 모두 3가지 해킹 사례에서 필요한 완화 조치를 완전히 반영하지 못했다며 “어느 프레임워크도 보안을 완벽하게 포괄할 수 있도록 설계된 것은 아니다. 각 프레임워크마다 관점이 다르다. 어떤 것은 빌드 환경에 더 초점을 맞추는 식이다. 스타터 키트는 개발자가 우선적으로 수행해야 할 보안 작업 목록”이라고 설명했다.
dl-itworldkorea@foundryco.com