???? ??? ?????? ????? ??? ??? ??? ??? ??? ???? ??. 이름은 잘 알려지지 않았지만 널리 사용되는 파일 압축 알고리즘인 XZ유틸(XZ Utils)의 소프트웨어 라이브러리 침해 사건은 서드파티 구성 요소가 기업의 안전과 보안을 유지하는 데 얼마나 중요한지 보여준다. 지난달 해커는 오랜 시간을 들여 오픈소스 관리자에게 접근하고 유틸리티에 멀웨어가 포함된 백도어를 추가하는 데 성공했다. 이 침해 사건에서 주목할 점은 공격자가 관리팀의 신뢰를 얻고 탐지를 피하기 위해 얼마나 교묘하게 백도어를 삽입했는지다. 물론 많은 서드파티 공급망 공격이 더 노골적이고 단순한 무차별 대입으로 이뤄져 있을 수 있다. 하지만 이런 라이브러리 침해에는 서드파티 공급망 공격의 증가, 오픈소스 소프트웨어 도구의 복잡성 안에 멀웨어 숨기기, 서드파티 라이브러리를 생성형 AI 소프트웨어 모델 및 도구의 또 다른 잠재적 공격 벡터로 사용이라는 3가지 추세가 결합돼 있다. 이는 보안 관리자에게 있어 새 국면을 의미한다. 각 항목에 대해 자세히 알아본다. 공급망, 서드파티 라이브러리, 생성형 AI 리스크최근 몇 년 동안 공급망 공격이 전반적으로 증가한 것은 분명하다. 에 따르면 악성 소프트웨어 구성 요소는 공급망 공격을 7배가량 증가시킨 것으로 전해진다. 올해 에서도 지난해 데이터 대비 공급망 공격이 크게 증가한 것으로 나타났다. 버라이즌은 조직이 “체인에서 가장 취약한 링크에 대한 공격을 받지 않도록 더 나은 선택을 할 수 있는 방법을 모색”하고, 어떤 서드파티 소프트웨어 업체와 협력할지 고민할 것을 당부했다. 공급망 문제는 이제 최신 소프트웨어의 작성 및 수정 작업에 완전히 스며들어 있다. 앱이 매일 또는 매시간 새로운 코드로 개선되기 때문에 보안 소프트웨어가 코딩 오류를 신속하게 식별하고 수정하기가 더 어려워졌기 때문이다. 다시 말해 기존의 수동 오류 검사 방식은 시대에 뒤떨어져 취약점을 놓칠 수밖에 없다. 하지만 공격자들이 오늘날 소프트웨어 공급망의 복잡성이 점점 더 커진다는 점을 악용하는 만큼, 서드파티 업체만 탓해서는 안 된다. 콘트라스트시큐리티(Contrast Security)의 공동 설립자이자 CTO인 제프 윌리엄스는 “소프트웨어 업계가 해결하려면 수년이 걸릴 문제다. 제약이나 제조 공급망의 복잡성은 최신 소프트웨어 공급망과 비교하면 아무것도 아니다. 말 그대로 소프트웨어를 만드는 모든 과정에서 멀웨어와 취약점이 발생할 수 있다”라고 지적했다. 그는 또한 “사용되는 모든 소프트웨어는 수십만 명의 사람들에 의해 좌우되며, 누구든지 코드에 멀웨어를 삽입할 수 있는 경로를 갖고 있다. 취약점을 찾아서 악용하는 해커는 여기에 포함시키지도 않았다”라고 말했다. 이제 여기에 오픈소스 소프트웨어 사용의 복잡성과 종속성을 더해야 한다. XZ유틸 라이브러리 취약점 공격은 오픈소스 커뮤니티 회원의 신뢰를 악용한 유사 공격 중 가장 최근 발생한 사건이다. 이전에는 아파치 산투아리오 오픈소스 프로젝트(Apache Santuario project)에서 개발돼 수많은 매니지엔진(ManageEngine)에 사용된 ‘’ 라이브러리 취약점이 있었다. 2023년 말 해커들은 조호(Zoho) 매니지엔진에서 심각한 취약점을 발견했는데, 이를 확인하고 패치하기까지는 몇 주가 걸렸다. 취약점을 그대로 방치했다면 원격으로 코드를 실행하고 여러 서버에 관리자 접근 권한을 확보할 방안도 마련됐을 것이다. j쿼리(jQuery), 리액트(React) 같은 일반적인 자바스크립트 프레임워크도 라이브러리 악용 및 취약점 리스크에서 자유롭지 않다. 보안 전문가인 마이클 하워드는 에서 이 문제에 대한 설문조사를 실시한 바 있는데, 많은 이들이 안전치 않은 자바스크립트 라이브러리에 크게 의존하는 것으로 나타났다. 리버싱랩스(ReversingLabs)의 CEO인 마리오 북산은 최근 에서 “결과는 분명하다. 소프트웨어 공급망 공격이 증가하고 있고 그 파급 효과는 계속 커지고 있다”라고 언급했다. 애플케이션 보안을 추적하는 베라코드(Veracode)의 에 따르면 애플리케이션의 70% 이상이 최소 1개 이상의 오픈소스 결함을 포함하고 있으며 이 비율이 수년 동안 크게 변하지 않은 것으로 나타났다. 또한 공급망의 악성 코드가 현재 기업 전반에서 널리 사용되는 생성형 AI 모델에 어떤 영향을 미칠지에 관한 문제도 있다. 마이크로소프트 보안 전문가인 마크 루시노비치는 이번 달 빌드 컨퍼런스에서 서드파티 소프트웨어 공급망 공격이 또 다른 형태로서 생성형 AI 모델에 멀웨어를 유포하는 방법에 대해 설명했다. 이는 방어자가 다양한 보호 조치를 이해하고 구축해야 하는 새로운 장애물이 될 수 있다는 것을 의미한다. 서드파티 라이브러리 리스크를 완화하는 방법서드파티 라이브러리의 리스크를 완화할 수 있는 여러 가지 기술이 있다. 베라코드의 공동 창립자이자 CTO인 크리스 위소팔은 소프트웨어 개발자들이 보다 적극적으로 나서서 “소프트웨어 공급망에서 취약점을 찾아내고 즉각적인 수정 조치를 취할 수 있는 올바른 도구에 투자하고, 정부도 오픈소스 소프트웨어로 인한 국가 안보의 잠재적 위험을 인정해야 한다”라고 말했다. 이는 그가 해커 닉네임인 ‘웰드 폰드(Weld Pond)’로 알려졌을 때와 이 주제에 대해 을 했을 당시를 떠올리며 자주 하는 말이기도 하다. 소프트웨어가 더 많은 종속 구성 요소로 복잡해지면서, 공격자가 멀웨어를 숨기려고 할 때 악의적인 목적이든 실수든 코딩 오류를 탐지하기가 점점 더 어려워지고 있다. 윌리엄스는 “영리한 공격자는 공격을 의도치 않은 취약점처럼 보이게 해 매우 그럴듯한 변명을 만들어낸다”라고 말했다. 안전하지 않은 라이브러리를 표시하고 제거하는 데 도움이 될 만한 방법은 있다. 지난해 6월 CISA(Cybersecurity and Infrastructure Security Agency)는 서드파티 공격을 방지하기 위해 개발 프레임워크와 코딩 파이프라인을 개선할 방법에 대한 을 발표한 바 있다. CISA는 신속한 개발과 배포를 촉진하는 서드파티 코드의 이점을 언급하면서도, 더 강력하고 암호화된 계정 자격 증명과 신뢰할 수 없는 라이브러리 제한 등의 제어 조치가 필요하다고 강조했다. CISA 보고서는 “한 명의 개발자가 다른 개발자의 검토와 승인 없이 코드를 체크인할 수 없어야 한다”라고 강조했다. XZ유틸 침해 사고의 문제 중 하나는 한 명의 개발자가 팀의 신뢰를 얻고 스스로 수정할 수 있었다는 점이다. 한 가지 방법은 기존 서드파티 리스크 관리 프로그램과 취약점을 찾아 제거할 수 있는 전문 컨설턴트를 결합하는 것이다. 이를테면 의 공동 노력 및 자동화된 도구가 있다. 이와 관련해 오픈소스 커뮤니티도 해결책을 제시했다. 오픈소스 보안 재단에서 이달 초 소개한 도구인 은 소프트웨어 개발자와 보안 연구자들이 사이버 공격과 관련된 침해 지표와 함께 전술, 기술 및 절차를 공유할 방법을 제공한다. 소프트웨어 공급망에 영향을 미칠 수 있는 새로운 위협에 대한 실시간 업데이트를 통해 조기 경보 시스템도 제공할 방침이다. 또한 깃허브(GitHub)에는 리타이어JS(RetireJS), 리타이어-html-파서(Retire-html-parser), 로코리(Lokori) 등 코드에서 알려진 취약점을 검사할 수 있는 가 있다. 그중 리타이어JS는 취약한 라이브러리에 액세스할 때마다 브라우저에서 스캔을 수행하는 크롬 확장 프로그램으로 제공된다. 이 외에 코드 개발 파이프라인과 워크플로우 내에서 동적으로 코딩 오류를 검사할 수 있는 상용 검사 도구도 있다. 보안 제품만으로는 부족그러나 이런 모든 도구는 기업 보안 관리자와 앱 개발자의 절차를 대대적으로 바꾸지 않는 한 효과가 없다. 하워드는 사용 중인 라이브러리를 파악하고 발견된 취약점을 추적하는 등의 몇 가지 방법을 블로그를 통해 제안했다. 그는 “조직 내 누군가는 이를 추적해야 하며, 이는 업무의 일부”라고 말했다. 시스디그(Sysdig)는 올해 초 발표한 보고서 ‘’에서 프로세스를 개선할 방법을 몇 가지 제시했다. 보고서는 “조직이 아직 개발 수명 주기를 공식화하지 않았다면 해야 한다. 여기에는 빌드 및 릴리스 프로세스를 수립하고 표준화하는 것도 포함된다. 일반적으로 특정 기술 스택이 빌드 파이프라인을 구성한다. 조직에서 많은 애플리케이션과 시스템을 빌드하는 경우에는 그 수가 급격히 증가할 수 있다. 조직의 개발 이력과 새로운 기술의 발전 방향에 따라 파이프라인 수는 수십 개 또는 수백 개에 달할 수 있다. 일부 기업에서는 이를 ‘안전한 소프트웨어 빌드 팩토리’라고 부르지만, 적절한 보안이 필요하다”라고 설명했다. CSO는 올해 초 보안 전문가를 대상으로 설문조사를 실시한 뒤 서드파티 리스크 관리를 위한 를 제시했다. 이 중 일부는 소프트웨어 공급망에도 적용할 수 있다. 경영진이 서드파티 리스크에 특별히 집중하도록 조정하고, 서드파티 소프트웨어 업체를 지속적이고 정확하게 조사하고, 평가 및 추적할 가장 중요한 서비스 업체를 찾기 위한 분류 작업을 수행하는 등의 조치다. 위소팔은 “우리 모두 힘을 합쳐 디지털 인프라를 강화하고 오픈소스 취약점으로 인한 미래의 위협으로부터 보호해야 한다. 이번 사건은 오픈소스 소프트웨어 사용자들에게 큰 경각심을 불러일으키는 일”이라고 말했다. dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????