반응형
| 토픽 | 소프트웨어 기반의 공급망 공격 동향 및 대응방안 | ||
| 도메인 | 보안 | 중요도 | 중 |
| 참고문헌 | 김미희, “소프트웨어 기반의 공급망 공격 동향 및 대응방안”, 주간기술동향, 2022.06.0, pp15-27. | ||
문. 소프트웨어 기반의 공급망 공격 동향 및 대응방안(2022.06.)
답.
1. 개요
| 구 분 | 설 명 |
| 하드웨어 공급망 공격 |
- IC(Integrated Circuit), SoC(System on Chip)와 같은 입출력 장비 등 물리적인 구성요소를 공격 - 제품을 생산하는 공급망 과정에 침투해서 위변조된 부품을 삽입함 |
| 소프트웨어 공급망 공격 |
- 시스템 소프트웨어나 응용 소프트웨어와 같이 동작을 지시하기 위한 명령어 집합으로 구성된 소프트웨어를 공격 - 소프트웨어 개발 라이프 사이클(SDLC)에 침투해서 정보탈취 및 시스템제어 등 악의적인 기능을 주입한 위변조 소프트웨어 활용 |
2. 소프트웨어 기반 공급망 공격 유형
<그림. 소프트웨어 개발 라이프사이클 구조>
| 구 분 | 설 명 |
| Kernel.org (2011) |
- 도난당한 사용자 자격증명을 통해 접근권한 획득 후 악성 스크립트 추가 |
| Transmission BitTorrent (2016) |
- MacOS 기반 Transmission BitTorrent로 위장하여 유효 인증서를 사용하는 Apple Gatekeeper 우회 |
| NetSarang (2017) |
- NetSarang 빌드서버에 침입하여 변조된 배포 패키지를 사용자에게 배포 |
| Node.js NPM Registry (2017) |
- 핵태스크(hacktask)라는 계정으로 기존 NPM 패키지명과 유사한 악성 패키지 39개 배포 - cross-env 패키지와 유사한 crossenv 패키지명을 사용하는 타이포스쿼팅 공격 |
| Ubuntu Snap Store (2018) |
- Ubuntu 스냅 패키지 소스코드에 systemd로 위장한 Coinminer 삽입 공격 |
| PyPI Python Package Repo(2019) |
- dateutil과 jellyfish 패키지를 사칭한 악성 파이썬 라이브러리 2종 업로드 |
| SolarWinds (2020) |
- 해킹그룹 UNC2452이 SolarWinds Orion에서 악성코드가 삽입된 프로그램 SW 업데이트 시 배포 |
| MS Exchange (2021) |
- MS Exchange 위약점 4종 악용 - 115개 국가 5000여개이상의 MS Exchange Server에 웹쉘파일 배포 |
| CodeCov (2021) |
- 소프웨어 테스트 목적의 테스트 코드 제공 플랫폼의 CI/CD 파이프라인을 조작해 악성 소프트웨어 배포 |
| Colonial Pipeline (2021) |
- 다크사이드(DarkSide)로 인한 랜섬웨어 감염으로 미국 동남부 지역 휘발유 공급 일시 중단 및 500만 달러의 몸값 지불 |
| Kaseya (2021) |
- Kaseya VSA 소프트웨어 취약점으로 해킹그룹 REvil에서 랜섬웨어 유포 |
3. 소프트웨어 기반의 공급망 공격 대응방안
가. 정책, 제도적 대응방안
| 구 분 | 설 명 |
| 위협정보 공유 강화 |
- IT 및 OT서비스 제공업체의 계약상 이슈로 인한 국가기관(CISA, FBI) 등과의 정보공유 장벽 제거 - 사이버 보안사건에 대한 예방, 탐지, 대응 조사와 관련된 데이터 수집 및 보존의무 수행 |
| 사이버 보안 현대화 |
- IaaS, PaaS, SaaS 등 클라우드 서비스 가속화 - 제로트러스트 아키텍처 적용 |
| SW 공급망 보안강화 | - SW 공급망보안과 무결성 개선조치 수행 - 시스템 최소권한 부여, 데이터 암호화, 사이버사고 모니터링, 인증 및 접근제어 등의 보안기능 강화 |
| 사이버안전 심의위원회 | - 2002년 국토안보법 871조에 따라 사이버 안전 심의위원회 설립 - 사이버 안전 심의위원회를 통해 중대한 사이버사건에 대한 검토 및 평가 수행 |
| 플레이북 표준화 | - 기관별로 상이하게 관리되는 보안사고대응절차 표준화 - 프렐이북을 활용한 사고 목록화 및 집중화 수행 |
| 사이버보안 취약성 및 사고감지 개선 |
- 사이버보안 사고 사전감지, 능동적 위협헌팅, 격리 및 개선, 사고대응 수행 - EDR(Endpoint Detection Response)을 통한 대응강화 |
| 조사 기능 개선 | - 온프레미스, CSP 등 다양한 환경의 네트워크 및 시스템 데이터 수집 보관 - 컴플라이언스에 부합된 방식의 데이터 보간 준수 |
나. 기술적 측면의 대응방안
<그림. SBOM을 이용한 소프트웨어 보안개발 방법론>
| 구 분 | 설 명 |
| 레파지토리 보안 강화 |
- 깃허브에서는 유효성 검증으로 보안취약점이 존재하는 패키지를 확인할 수 있는 의존성봇을 통해 연쇄적인 보안 이슈 해소 노력 중 - 깃랩에서는 의존성 스캐닝을 통해 소프트웨어 종속성으로 인한 보안취약성 자동검사를 지원 |
| 보안조치계획 우선 순위화 | - 취약점 위험도를 수치화한 CVSS는 번호로 우선순위 부여함 - 알려진 취약점은 Exploit Code 존재 여부를 기준으로 우선순위를 반영 - 따라서 조직의 환경과 보안성숙도에 따른 취약점 관리방안 적용 필요 |
| SBOM으로 보안 강화 |
- Software Bill of Materials - 국내 환경에 맞는 소프트웨어 공급망 보안강화체계를 구축하여 보안 가시성을 확보 - SBOM을 통한 공급망 취약점 관리 및 상관관계 분석을 통한 모니터링 |
'정보통신 정보관리기술사 > 논문' 카테고리의 다른 글
| 문. 초개인화에 다양성을 입히는 추천시스템 기술 동향 (0) | 2022.09.29 |
|---|---|
| 문. 인공지능 적용 분야 및 관련 기술 동향 (1) | 2022.09.28 |
| 문. Face-to-Face 자유대화형 실시간 동시통역 기술개발(2022.08.) (1) | 2022.09.25 |
| 문. 비즈니스 세계로 인공지능 기술 동향 (1) | 2022.09.11 |
| 문. 해사 사이버보안 이슈 및 기술 동향 (1) | 2022.09.06 |
| 문. 자동차 사이버보안 표준 및 보안 기술 동향 (0) | 2022.09.03 |
| 문. 디지털 트윈 고정밀 가상 공간 구축을 위한 3D 자동 생성 및 XR 표출 기술 (0) | 2022.09.02 |
| 문. 완전자율주행을 위한 C-V2X의 표준 및 미래 전망과 생태계 (0) | 2022.09.01 |