최근의 FireEye / SolarWinds 침해로 인해 배운 좋은 점이 있다면 기존 공급망을 통해 기업에 대한 악의적 공격행위가 있을수 있다는 경각심을 얻은데 있습니다 . 과거 WannaCry 와 NotPetya에서 기업이 랜섬웨어 위협 의 파괴적인 영향을 막기 위한 수단으로 오프라인 백업 및 복구에 관한 정책을 검토하도록 유도하는 결과를 얻었는데 (그리고 랜섬웨어 운영자에게 전술을 변경하도록 지침도 제공) 이와 유사한 긍정적인 반응을 기대할 수 있습니다.
SolarWinds 침해 이후 등장한 수많은 새로운 악성 코드 변종 (예 : SUNBURST , SUPERNOVA , GoldMax, Sibot 및 GoldFinder )은 모든 기업이 공급망 공격 벡터를 통한 공격행위가 가능함을 심각하게 받아 들이도록 만들었습니다.
이 게시물은 공급망 공격이 무엇인지, 어떤 유형의 위협 행위자가 공격을 수행하는지, 기업이 공격을 보다 효과적으로 완화 할 수있는 방법은 어디에 있는지에 대해 설명합니다.
공급망 공격이란 무엇입니까?
MITER는 공급망 손상을 위한 원인, 결과, 메커니즘 및 방어 전략에 대한 구조화된 분석을 제공합니다.
더하여 MITRE ATT&CK 에서는 공급망 공격에 대해,
프레임웍이 최종 소비자에게 도달되기 전에 데이터 또는 시스템 손상을 목적으로 제품 또는 제품의 전달 메커니즘을 조작하기 위한 연쇄 공격이라 정의하고 있습니다.
공급망 공격은 다음을 포함하여 공급망의 모든 단계에서 발생할 수 있습니다.
- 개발 도구 조작
- 개발 환경 조작
- 소스 코드 저장소 조작 (공개 또는 개인)
- 오픈 소스 종속성에서 소스 코드 조작
- 소프트웨어 업데이트 / 배포 메커니즘 조작
- 손상 / 감염된 시스템 이미지 (공장에서 감염된 여러 경우의 이동식 미디어)
- 합법적 인 소프트웨어를 수정 된 버전으로 교체
- 합법적 인 유통 업체에 개조 / 모조품 판매
- 배송 금지
APT가 선호하는 공급망 기반 공격 캠페인
공급망 공격은 국가 주 캠페인에서 선호되는 운영 방법이되었습니다. 중국은 오랫동안 미국 공급망을 악용하여 민감한 정보에 침투하고 도용 해 왔으며 중국에 기반을 둔 APT Hafnium 은 수많은 조직이 의존하는 타사 제품의 결함인 최근 Microsoft Exchange 서버 제로 데이 악용에 대한 책임이 있는 것으로 생각됩니다 . .
러시아가 리투아니아 와 우크라이나의 캠페인에 참여했다는 최근 뉴스는 그곳의 국가 지원 행위자들도 공급망 남용의 기술을 습득 했음을 보여줍니다 .
북한 해커 들은 2017 년부터 2020 년까지 프랑스 기업인 Centreon 을 해킹 하고 IT 모니터링 소프트웨어를 사용하여 다수의 표적에 침투 함으로써 나타난 프랑스 표적에 대한 캠페인에서도 이러한 기술을 활용 했습니다.
공급망 공격에 대한 재정적 동기
성공적인 공급망 공격을 이끌어내는 복잡한 과정을 감안할 때, 그들이 오로지 국가 APT 캠페인 수준의 영역이라고 가정하는 것은 문제가 있어 보입니다. 이러한 공격의 주 목적은 재정적 이익이며 이를 위해 정교한 사이버 범죄자들에 의해 저질러집니다.
수익 목표를 달성하려는 사이버 범죄자들은 최적의 공격 가능한 방안들을 찾게 될 것이며, 때때로 이것은 공급망에 대해 강력하게 방어된 조직도 침해를 당할 위험이 있음을 의미합니다. 그곳에서 그들은 약한 보안 메커니즘을 가진 덜 방어적인 조직을 식별하고 이를 활용하여 선택한 대상에 집중 및 결국 침해할 수 있습니다.
공급망 공격을 통한 가장 악명 높은 데이터 침해들 중 하나의 사례는 2013 년 발생된 소매 업체 Target Stores 였습니다 . 약 4,100 만 고객의 신용 카드 정보와 약 7 천만 고객의 개인 정보가 도난당했습니다. 공격자들은 소매 업체 네트워크에 액세스 할 수있는 난방 및 환기 계약자의 로그인 자격 증명을 훔쳐 Target의 시스템을 침해했습니다.
물론 Target은 혼자가 아니었습니다. 수많은 다른 회사들이 연계된 정보들로 인해 또 다른 진입 점 역할이 되어 공급망을 통해 침해 당했습니다. 2019 년에 IT 아웃소싱 및 컨설팅 거대 기업인 Wipro 가 유출되어 최소 12 개 이상의 고객 시스템을 대상으로하는 출발점으로 악용되었습니다.
2020년 6월 실시된 설문 조사 결과에 따르면 기업의 80%가 사업상 관련 업체 중 하나에 의해 공급망 관련 위험을 가지고 있으며 이는 기술 또는 디지털 공급자 부문 에만 국한되지 않습니다 . 영국 제조 부문에서 PWC 가 최근 실시한 설문 조사에 따르면 공급망 위험이 참여자의 대다수 (63%)에게 큰 관심사임을 보여줍니다.
SolarWinds, Microsoft Hacks – 우리 모두에게 광범위한 효과
“전통적인” 공급망 공격과 상업적으로 동기를 부여한 공격을 최근의 SolarWinds 및 Microsoft 해킹과 비교해 보면 공격자들의 정교함과 전술 모두에서 완전히 새로운 수준이 되었음을 확인할수 있었습니다.
“전통적인” 공급망 공격은 과거 약한 링크를 통해 기업에 침투했지만 대부분 직접적인 방식으로 수행되었습니다. 일반적으로 자격 증명 을 획득하고 이를 사용하여 기업에 연결하거나 공급 업체로부터 감염된 장치를 물리적으로 삽입하는 방식이었습니다. (감염된 USB 드라이브를 활용 한 Stuxnet 사이버 공격의 경우처럼)
SUNBURST 적의 마음 속
SentinelLabs 수석 위협 연구원 Marco Figueroa의 팟 캐스트
최근들어 발생한 이러한 새로운 공격들은 훨씬 더 심층적입니다. 그들은 엄청난 규모의 공급 업체를 식별하고 막대한 투자를하고 (Microsoft 는 1000 명의 소프트웨어 엔지니어가 SolarWinds 침해에 사용 된 악성 코드를 만드는 데 작업 한 것으로 추정하고 있음) 수천 명의 피해자에게 한 번에 접근 할 수 있습니다. 이는 해커의 목표 에 따라 단순한 부수적 피해 정도로 끝날 수도 있고 아닐 수도 있습니다 . 이러한 매우 신뢰할 수 있는 공급 업체를 통해 충분히 은닉한 상태로 침해하면 위협 행위자가 몇 달 또는 몇 년 동안 자유롭게 작동 할 수 있습니다.
공급망 공격을 완화하는 방법?
최근에 발표된 NIST 이니셔티브 ” 사이버 공급망 위험 관리의 주요 사례 : 업계의 관찰 “과 같이 공급망 위험을 처리하기위한 몇 가지 프레임 워크가 있지만 Microsoft, FireEye 및 SolarWinds와 같은 신뢰할 수있는 공급 업체조차도이 문제를 해결할 수 없습니다. 리소스가 훨씬 적은 조직에게는 어떤 기회가 있습니까?
최근 사건에서 알 수 있듯이 공급망의 복잡성과 조직의 모든 종속성에 대한 가시성 부족이 주요 위험 요소입니다. 예를 들어, 소프트웨어 공급 업체의 경우 Accellion FTA 등을 통해 대용량 저장 파일을 공유 및 전송하고 있습니다. 그런데 결국 FTA는 Singtel, 호주 의학 연구소 QIMR Berghofer, 워싱턴 주 감사관, 뉴질랜드 준비 은행, 호주 증권 투자위원회, 콜로라도 대학 , Qualys 와 같은 기관을 해킹하는 데 사용되었습니다.
마찬가지로 중국 해커는 2013 년에 처음 출시 된 Microsoft Exchange 서버 제품의 취약점을 악용 할 수 있었습니다. 많은 곳에서 이 정보는 이미 잊혀 졌을 것입니다. 하지만 Windows 장치 보호를 담당하는 Windows Defender는 최근에 12 년 동안 발견되지 않은 특수 에스컬레이션 취약점과 또 다른 많은 취약점을 통해 ITW 악용이 지금도 발생하고 있으며 이는 미래의 어느 시점에서 다시 악용 될 것이라고 인지하고 있습니다.
그래서 무엇을 할 수 있습니까? 조직이 공급 업체 소스 코드를 검토하고 이러한 취약성을 스스로 식별 할 것으로는 기대할 수 없습니다. 그러나 사이버 공급망 모범 사례와 관련된 또 다른 NIST 지침을 채택 할 수는 있습니다. 즉, 시스템이 침해 될 것이라는 대 원칙에 따라 방어 대책을 확보하십시오.
소프트웨어 공급망 공격의 피해자가 되지 않도록 하는 기본적인 대비책은,
공격자가 기업들이 기존 평판에 대한 신뢰를 악용하는 것이기 때문에 탐지를 위한 평판에만 의존하지 않는 보안 소프트웨어를 보유하는 것입니다.
이러한 이유로 화이트리스트 에 크게 의존하는 보안 솔루션을 피하고, 소스가 스스로 ‘신뢰할 수 있는지’ 여부에 따라 머신 속도로 새로운 위협을 인식 할 수 있는 최신 행위 기반 AI 솔루션으로 대체해야 합니다. SentinelOne Singularity 는 기존 안티 바이러스의 Signature에 의존하여 악의적인 공격을 탐지하는 대신, 정적 기계 학습 분석과 동적 행위 분석의 조합을 사용하여 공격으로부터 시스템을 보호합니다. 이는 자신의 공급망 내 실제로 손상되었을 수 있는 “신뢰할 수있는” 소스에서 나오는 대비되지 않은 공격 행위에 대해서도 마찬가지로 탐지 및 대응할 수 있습니다.
결론
최근의 공급망 공격은 보안 커뮤니티에 노출된 이후 업계 전문가들에게 충격을 주었습니다. 이 공격이 야기 할 수있는 공격 대상의 범위와 잠재적인 피해 규모는 무시하기에는 너무 큽니다. 공급망 보안에 대한 Biden 대통령의 행정 명령은 SolarWinds 공격이 공공 및 민간 조직에 미친 깊은 영향을 가장 잘 보여주는 증거 일 수 있지만, 이 명령과 후속 조치가 공급망의 보안 상태를 개선 할 것인지 여부는 다수의 조직에서 예상할 수 있는 ‘누가 먼저’ 게임입니다.
각 기업은 자신의 집을 먼저 정리해야 하며, 사이버 보안 요구 사항을 심도있게 재 검토하고 공급망 종속성에 대한 가시성을 확보하고 이후 침해 가능성을 식별한 후,
이를 대비 할 수 있는 최신 XDR 플랫폼을 도입하는 것보다 더 좋은 시작은 없습니다. 이를 통해 각 회사의 자체 공급망 내에서 먼저 대비할수 있습니다.
SentinelOne이 어떤 도움을 줄 수 있는지 자세히 알고 싶으십니까? SUNBURST 와 관련된 더 많은 리소스를 보려면 여기 를 참조하고 , 자세한 내용은 당사에 문의하거나 무료 데모를 요청하십시오 .