우회 침투하는 'SW 공급망 공격'…"국가 차원 통합 관리 필요"

'골든스파이'·'솔라윈즈'·MS 인증서 유출…한국도 SBOM 표준화 추진 중

[아이뉴스24 김혜경 기자] "소프트웨어(SW) 인벤토리는 개별 조직‧기관이 관리할 수도 있지만 국가 차원의 통합적인 관리도 필요하다. 취약점이 발견됐을 경우 신속하게 대응할 수 있기 때문이다. 'SW 자재명세서(SBOM)' 도입, 표준계약서 변경 등 복잡한 작업이 수반된다. 한국도 태스크포스(TF) 설치 등 미국의 대통령 행정명령에 준하는 대응에 나서야 한다."

14일 오후 서울 양재 aT센터에서 열린 '사이버보안 정책 포럼' 정기총회에서 패널들이 토론을 진행하고 있다. [사진=김혜경 기자]

14일 오후 서울 양재 aT센터에서 열린 '사이버보안 정책 포럼' 정기총회에서 이만희 한남대 교수는 이 같이 전했다.

SW 공급망이란 SW의 설계‧개발‧배포‧유지보수 전 과정에서 관여된 자원과 정보, 사람, 조직 등의 네트워크를 뜻한다. SW 개발과 빌드, 배포에 사용된 모든 컴포넌트와 라이브러리, 절차, 개발 도구 등이 포함된다.

SW 공급망 공격은 수명 주기 전 단계에서 사이버 공격, 내부 위협 등을 통해 악성코드화 혹은 오작동을 일으키는 모든 행위다. 해당 유형의 공격은 2019년 대비 2020년에는 430%, 지난해에는 650% 급증했다.

이 교수는 "최근 발생하는 사이버 공격의 60% 이상이 SW 공급망 공격"이라며 "2020년 6월 '골든스파이(GoldenSpy)'의 경우 한 중국은행이 중국에 진출한 서방 기업들에게 설치를 요구한 세금 관련 SW에 백도어가 설치됐던 사건으로 디자인 단계에서 공격이 탐지됐다"고 말했다.

보안업계에 따르면 최근에는 마이크로소프트(MS) 인증서가 유출, MS 서명이 탑재된 멀웨어(악성 소프트웨어)가 발견된 바 있다.

2020년 이후 SW 공급망 공격 관련 사고 사례. [사진=포럼 발제 자료 발췌]

이 교수는 "미국은 지난해 5월 SW 공급망 강화를 위해 '국가 사이버보안 개선에 관한 행정명령(EO 14028)'을 공표했고 올해 9월에는 각 부처·기관을 대상으로 SW 개발 관련 공급망 보안 강화 지침을 내리는 등 체계적으로 대응하고 있다"며 "크리티컬(Critical) SW와 SBOM, 최소 검증 표준 보안 SW 개발 프레임워크, 공급망 리스크 관리 등 4개 부문으로 구분된다"고 설명했다.

크리티컬 SW란 ▲높은 권한으로 작동되거나 권한을 제어하는 SW ▲직접적인 권한을 부여받아 네트워크와 시스템에 접근할 수 있는 SW ▲시스템 운용‧데이터 접근 제어를 위해 설계된 SW ▲신뢰와 직접적인 연관이 있는 기능을 수행하는 SW ▲권한 있는 접근 방식(Privileged Access)으로 운용되는 SW 등이다.

SBOM에는 ▲공급자 ▲컴포넌트(Component) ▲컴포넌트 버전 ▲기타 고유 식별자(Other Unique Identifiers) ▲종속성 관계(Dependency Relationship) ▲SBOM 저자명 ▲타임스템프(Timestamp) 등이 포함돼야 한다.

그는 "미국 연방기관들은 현지시간으로 13일까지 크리티컬 SW 목록 등을 작성해야 한다"며 "내년 6월 11일까지는 크리티컬 SW 자체증명서를, 9월 14일까지는 모든 SW의 자체증명서를 받는 것을 의무화하는 등 공급망 보안을 강화하고 있다"고 말했다.

이어 "한국은 2019년 국가 사이버안보 기본 계획을 통해 공공기관에 도입되는 ICT 장비에 대한 공급망 보안 관리 체계를 구축했다"며 "최근에는 '제로트러스트(Zero-Trust)‧공급망 보안 포럼'을 발족하고 보안 관리체계 구축 전략과 점검 항목 고도화, SBOM 표준화를 추진하고 있다"고 덧붙였다.

/김혜경 기자(hkmind9000@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기