공급망의 효율적인 관리를 위해 제조사들은 SW를 업데이트하고 있으며, 매 업데이트시 SW 업데이트에 악성코드나 오류가 없다는 특정 수준의 신뢰가 부여된다. 그러나 이 신뢰를 기반으로 공격자는 제조사 인프라에 대한 접근 권한을 획득하고 정상적인 소프트웨어 업데이트에 악성코드를 주입해 심각한 피해를 입힌다.

이러한 공격 벡터는 새로운 개념이 아니며, 최근 대만 연구소에서 발생한 악성 SW 섀도우패드(ShadowPad), CCleaner 및 섀도우해머(ShadowHammer)와 같은 공격 시도는 견고한 네트워크도 침투할 수 있음을 보여준다. 특히, 지난 7월 발생한 크라우드스트라이크 전산망 마비 사건은 공급망의 중요성과 공격이 성공하면 막대한 피해가 발생할 수 있음을 시사했다.

글로벌 보안 기업 카스퍼스키(Kaspersky, CEO 유진 카스퍼스키)가 ‘XZ부터 크라우드스트라이크까지 - 공급망 공격의 영향과 향후 전망’ 연구 결과를 17일 발표했다.

크라우드 스트라이크 공격 분석 및 전망

지난 7월 19일(금) 협정세계시(UTC) 오전 4시 9분을 기점으로 약 2~3일 동안 세계 경제가 멈추는 사고가 발생했다. 윈도우(Windows) 운영체제에 대한 커널 접근권한을 가진 소수의 회사 중 하나인 미국 사이버보안 회사 크라우드스트라이크가 발행한 콘텐츠 구성 업데이트가 사고의 원인이었다.

카스퍼스키 글로벌 위협 정보 분석 팀(GReAT)의 사이버 보안 전문가 바이털리 카물룩(Vitaly Kamluk)는 “크라우드스트라이크의 구성 업데이트는 팔콘 플랫폼의 보호 메커니즘에 대한 정기 업데이트로, 원격 분석 자료를 수집하고 윈도우 플랫폼에 발생할 수 있는 새로운 위협 기법을 탐지하는 역할이었어야 했다. 하지만 이번 업데이트는 전 세계 850만 대의 윈도우 컴퓨터에서 끝도 없이 재부팅이 실시되는 문제를 초래했다.”라고 설명했다.

언론 보도에 따르면 병원, 은행, 항공사 등의 중요 인프라를 비롯해 미국 항공우주국(NASA), 연방거래위원회(FTC), 국가 핵안보청(NNSA)과 같은 미국 정부의 핵심 인프라와 911 콜센터, 필리핀 정부 웹사이트 등 크라우드스트라이크로 보호되는 윈도우 시스템을 사용하는 곳에서 잘못된 업데이트로 인해 피해를 보고 업무를 수행하지 못했다.

센서 버전 7.11 이상을 실행하며 7월 19일(금) 오전 4시 9분(UTC)부터 2024년 7월 19일(금) 오전 5시 27분(UTC) 사이에 온라인 상태였으며, 업데이트를 받은 윈도우 호스트가 피해를 입었다. 맥(Mac) 및 리눅스(Linux) 호스트는 영향을 받지 않았다.

근본적으로 이 시나리오는 APT에 의해 실행된 것이 아니라 잘못된 소프트웨어 업데이트로 발생했다. 하지만 이번 사건이 공급망 오류의 첫 사례는 아니며, 정교한 작전으로 실행된 '리눅스 XZ 라이브러리 공격'과 같은 사건이 이미 이전에 일어난 바 있다.

리눅스 XZ, 양의 탈을 쓴 늑대의 공격

2024년 초반에 무료 데이터 압축 명령줄 도구와 라이브러리로 구성된  오픈소스 라이브러리 '리눅스 XZ 유틸즈(XZ Utils) 프로젝트'가 한 공급망 공격에 의해 감염된 것이 발견됐다. 당시 발견된 악성코드는 백도어 프로그램으로, OpenSSH의 로직을 조작해 무단 액세스가 가능하도록 높은 수준의 난독화와 은닉 기술이 사용됐다.

현재 사물인터넷(IoT), 수백만 대의 서버, 데이터 센터 및 네트워크 장비에 연결된 수천만 대의 가정용 기기가 SSH에 의존하고 있어 이 문제는 크라우드스트라이크 사건을 능가하는 재앙으로 이어질 수도 있다.

오픈소스 소프트웨어 기업 레드 햇은 이 사건이 NIST 국가 취약점 데이터베이스(National Vulnerability Database)에 사례 CVE-2024-30942로 추적되고 있으며, 공격자들에게 이 취약점이 악용될 가능성을 감안해 심각도 점수는 10점으로 지정됐다고 밝혔다.

포렌식 분석에서 JiaT75라는 깃허브(GitHub) 사용자에 의해 커밋이 실행된 것으로 드러났다. 이 사용자는 XZ Utils 프로젝트 팀에 합류해 2021년부터 XZ 프로젝트에 기여한 ‘Jia Cheong Tan’으로도 알려져 있다. JiaT75의 정체는 하나의 계정으로 여러 명의 공격자들이 작업한 것으로 보이며, 이 계정은 싱가포르 VPN을 사용해 UTC+8 시간대에 운영된 것으로 알려졌다.

JiaT75는 다른 참여자들과 친분을 쌓고 커뮤니티에 긍정적으로 기여하면서 오랜 시간에 걸쳐 신뢰를 형성해 XZ 프로젝트 아카이브에 대한 유지관리 권한을 획득했고, 커밋을 병합하는 중요한 권한까지 손에 넣었다.

또한 XZ/libzma 빌드가 일련의 복잡한 난독화를 통해 수정 및 은닉돼 일부 운영체제에서 SSH의 종속성으로 사용된 결과, 감염된 시스템에 무제한으로 접근할 수 있었던 것으로 밝혀졌다.

이 사건은 조사가 진행 중이며, 소셜 엔지니어링이 오픈소스 소프트웨어의 특성과 결합되면 공급망 공격의 또 다른 경로가 될 수 있는 가능성을 시사한다.

통합된 미래를 위협하는 AI 공격

스마트 시티의 인프라를 최적화하고 보건, 교육, 농업 등의 분야를 강화하는 데 AI의 여러 측면이 활용되면서 AI가 사회 깊숙이 들어오고 있다. AI는 학습 모델과 트레이닝에 의존하며, 이 과정에서 악성 입력을 인젝션해 공급망 공격의 대상이 될 수 있다.

AI에 대한 공급망 공격의 잠재적 경로로, 트레이닝 데이터를 조작해 모델에 편향성과 취약점을 주입하거나 AI 모델을 변형된 모델로 수정해 잘못된 결과를 생성하도록 하는 방법이 있다.

장기 공격을 하는 APT 공급망 공격은 적절한 목표물을 찾을 때까지 정체를 숨기고 기다리면서 악성코드 페이로드를 난독화해 합법적인 파일로 위장한다. 이 후 인프라에 확장 도구를 설치해 더 높은 수준의 액세스 권한을 얻거나 궁극적으로는 전체 시스템을 감염시킬 수 있다.

챗GPT(ChatGPT), 코파일럿(CoPilot) 및 제미니(Gemini)와 같이 쉽게 이용할 수 있는 LLM은 조작돼 그럴싸한 스피어 피싱 공격을 생성하는 데 활용될 수 있으며, AI 딥페이크는 중요 인물로 가장하는 데 사용될 수 있다. 실제로 홍콩에서 사기꾼이 한 회사의 최고 재무 담당자의 모습을 모방해 자금을 이체하도록 만들어 2500만달러의 손실을 입은 사건이 있었다.

바이털리는 “사이버 보안 모범사례를 적용하는 것 외에도 조직은 그들의 인프라에 공급망 공격이 발생할 경우의 피해를 관리하거나 최소화하기 위한 완화 전략을 실행해야 한다.”라며 “빌드가 실제로 배포되기 전 엄격한 테스트, 철저한 도구 무결성 및 엄격한 제조 관리, 변경 사항과 버전을 추적하기 위한 모델 버전 번호 및 모델 검증, 비정상 징후에 대한 지속적인 모니터링, 빌드의 디지털 서명 및 정기적인 보안 감사를 거쳐야 한다.”라고 전했다.