‘오픈소스 생태계’ 취약점 노려, 국제 공급난 심화, “날로 수법 첨단화”
“소스코드, 라이브러리 훼손, 게이트키퍼 우회 접근, 코드서명 인증서 탈취 등”

사진은 사이버공격을 시사하는 이미지로서, 본문과 직접 관련은 없음.
사진은 사이버공격을 시사하는 이미지로서, 본문과 직접 관련은 없음.

[애플경제 이보영 기자] 국제적인 공급난이 가중되고 있는 가운데, 공급망 인프라에 대한 사이버 공격도 기승을 떨면서 세계 경제를 더욱 어렵게 만들고 있다. 특히 해킹그룹 REvil등이 소스코드나 라이브러리를 절취, 훼손하거나, 신뢰받는 코드 서명 인증서를 탈취하는 등 날로 진화된 수법을 발휘하고 있어 우려를 낳고 있다. 이들은 ICT분야의 오픈소스 리포지터리 기반의 공급업체나 솔루션을 집중 공격하는가 하면, 가스나 석유 등 실물경제 공급분야의 기업들의 웹브라우저를 피싱하거나, 악성코드를 심는 등 다양한 수법으로 범죄를 일삼고 있다.

특히 전문가들은 불특정 다수의 사용자가 접근해서 소스코드를 생성하거나 수정할 수 있는 NPM Registry 관리에 철저를 기해야 한다는 지적이다. 애초 이는 오픈소스 생태계의 구심점이 되는 레파지토리를 플랫폼으로 활용, 사용자 간의 피드백과 검토가 가능한 상호검증(peer review) 구조를 활성화시키고 있다. 그러나 오픈소스 생태계에 악의적 목적의 사용자가 생태계를 교란시키는 경우 문제가 된다. 즉, 정상 패키지에 ICT 신기술 악성코드를 삽입하거나, 정상 패키지명과 유사한 패키지명을 사용하여 악성 패키지 다운로드를 유발하는 타이포스쿼팅 공격, 논리적 결함을 사용해 악의적인 패키지가 호출되도록 하는 수법으로 다수에게 큰 피해를 끼칠 수 있기 때문이다.

이에 전문가들은 이들의 주요 수법을 인지하고, 그에 따른 대비책을 강구하는 등 공급망 인프라 보호에 주력해야 한다는 목소리가 높다. 한국정보통신기획평가원과 이 기관에 별도의 브리프를 기고한 김미희 이글루코퍼레이션 팀장이 분석한 지난 10년 간의 ‘국제 공급망 인프라에 대한 사이버 공격’에 따르면 공급망 공격자들은 이처럼 날로 지능화된 첨단 수법을 구사하고 있다.

이에 따르면 소스코드나 라이브러리 훼손은 물론, 소프트웨어 업데이트 서버와 오픈소스 레파지토리를 악용한 악성코드 배포 등이 대표적인 수법이다. 또 접근제어 우회를 통한 비인가 접근, 신뢰된 코드서명 인증서 탈취와 같이 ‘소프트웨어의 무결성’을 저해하는 공격 형태 또한 두드러지고 있다.

실제 사례를 보면, 지난 2011년 피해를 입은 ‘Kernel.org’도 그 중 하나다. 리눅스 운영 체제의 기반인 리눅스 커널 소스 코드의 주요 배포 지점인 ‘Kernel.org’에 대해 범죄자들은 훔쳐낸 사용자 자격증명을 통해 접근 권한을 획득한 후 악성 스크립트를 추가시켰다.

애플 맥 OS를 노리는 신종 랜섬웨어도 빈발하고 있다. 흔히 맥용 파일 공유 클라이언트 ‘트랜스미션 비트토렌트(Transmission BitTorrent)’의 설치 프로그램을 감염시켜 데이터 파일을 암호화한 후 비트코인을 요구하는 경우가 많다. 이런 경우 아예 맥 OS 기반 ‘Transmission BitTorrent’로 위장하고, 유효 인증서를 사용하는 애플 ‘Gatekeepr’를 우회하는 수법을 쓰기도 한다. 온라인 검사를 수행하여 앱에 알려진 악성 프로그램이 있는지, 그리고 개발자의 서명 인증서가 파기되었는지 확인하는 ‘Gatekeeper’의 기능을 무력화하는 것이다.

“강력한 SSH와 SFTP/FTP 클라이언트 프로그램을 지난 10년간 무료로 배포해온” 것을 자랑해온 넷사랑 컴퓨터(NetSarang)도 역시 예외가 아니었다. 범죄자들은 이곳 빌드서버에 침입하여 변조된 배포패키지를 사용자에게 배포하기도 했다. 자바스크립트로 클라이언트와 웹 서버 개발을 할 수 있게 한 ‘Node.js’ 역시 공격의 대상이 되었다. 범죄자들은 NPM, 즉 Node.js로 만들어진 모듈을 웹에서 받아서 설치하고 관리해주거나 저장․공유하는 프로그램을 악용하는 수법을 썼다. NPM Registry 핵태스크(hacktask)라는 계정으로 기존 NPM 패키지명과 유사한 악성 패키지 39개를 배포함으로써 큰 피해를 안겨주었다.

2018년에는 리눅스 배포판인 아치 유저 리포지터리(Arch User Repository, AUR)가 그 대상이 되었는데, PDF 뷰어인 ‘acroread’에 악성 스크립트를 삽입하여 시스템 정보를 탈취한 것이다. 역시 리눅스 배포판인 우분투(Ubuntu)의 SW패키지 저장소인 스냅 패키지 소스코드에 ‘systemd’로 위장한 코인 채굴자(Coinminer)를 삽입하기도 했다.

또 파이썬의 개발 패키지인 ‘PyPI Python Package Repository’에 대해서도 ‘dateutil’과 ‘jellyfish’ 패키지를 사칭한 악성 파이썬 라이브러리 2종을 업로드하기도 했다. 지난 2020년에는 글로벌 IT솔루션 기업인 솔라윈즈에 대해 해킹그룹 ‘UNC2452’가 이 회사의 ‘SolarWinds Orion’에서 악성코드가 삽입된 프로그램 SW를 업데이트하도록 유도하는 방식으로 유포시켰다. 그로 인해 미국 정부기관을 포함해 1만8천 여 기관이 피해를 입었다.

특히 지난해는 MS Exchange 취약점 4종을 악용, 115개 국가 5천여 개 이상의 MS Exchange 서버에 웹쉘파일을 배포하는 사건도 있었다. 최근에는 또 세계적인 오픈코드 솔루션인 ‘CodeCov’에 대한 공급망 공격이 충격을 안겼다. 당시 범죄자들은 소프트웨어 테스트 목적의 테스트 코드 제공 플랫폼의 CI/CD 파이프라인을 조작해 악성 소프트웨어를 배포한 바 있다.

지난해 유명한 미국의 ‘Colonial Pipeline’ 사건도 대표적이다. 다크사이드(DarkSide)로 인한 랜섬웨어 감염으로 미국 동남부 지역 휘발유 공급이 일시 중단되는 사태가 벌어졌고, 결국 500만 달러(약 57억 원)의 몸값을 해커들에게 지불해야 했던 것이다. 미국의 유명 소프트웨어 기업인 카세야(Kaseya) 역시 ‘Kaseya VSA’ 소프트웨어 취약점이 노출되어 해킹그룹 REvil이 이를 집중 공격하고 랜섬웨어를 유포하는 사건이 벌어졌다.

이처럼 공급망에 대한 사이버 공격자들은 주로 신뢰받는 관계를 공격하거나, 웹 브라우저 등을 기반으로 공격 페이로드를 유포하는 방식, 그리고 피싱, 악성코드 감염 등의 수법을 쓰고 있다. 앞서 김미희 이글루코퍼레이션 팀장은 “특히 소프트웨어 공급망 공격에서 주로 범죄자들이 쓰는 수법은 ‘신뢰받는 관계’를 공격한 것”임을 강조했다.

그는 “개발환경 안팎에 존재하는 오픈소스 레파지토리나 서드 파티 솔루션 등 인프라 환경 에 이미 구축되어있는 접점을 활용하기 때문에 위ㆍ변조된 소프트웨어나 악성코드 주입에 성공할 수 있다”면서 “그렇게 되면 하위 시스템의 접근권한을 획득하여 권한 상승(privilege escalation)이나 측면이동(lateral movement)과 같은 2차 피해를 유발할 수 있는 후속 공격을 도모할 수 있게 된다”고 경고했다.

그에 따르면 또 Node.js의 모듈 패키지 관리․저장소인 ‘NPM Registry를 통해 공급망의 신뢰된 관계인 오픈소스 레파지토리를 공격하는 방식도 많이 구사한다. 대표적으로 지난 2017년 ’cross-env‘ 패키지와 혼동하기 쉬운 ’crossenv‘ 패키지명을 사용하는 타이포스쿼팅(typosquatting) 공격으로 대상 시스템의 환경변수를 수집하는 악성코드 배포사건이 있다. 이는 타이포스쿼팅, 즉 비슷한 문자나 오타를 유발하여 공격하는 사회공학기법을 구사함으로써 눈길을 끈 사례다.

stream을 쉽게 사용할 수 있도록 지원하는 ‘Event-Stream’ 패키지와 의존관계인 ‘Flatmap-Stream’ 패키지에 비트코인 결제 플랫폼 지갑인 ‘Copay’ 지갑정보와, 개인키를 탈취할 수 있는 악성코드를 삽입하는 경우도 있었다. 김 팀장은 이에 “오픈소스 생태계에서의 검증 프로세스를 철저히 갖추고 이를 기반으로 충분히 대응해야 이런 공급망 공격을 막을 수 있다”면서 “이를 소홀히 할 경우는 오픈소스 레파지토리가 범죄자들의 주요 공격 대상으로 ‘먹잇감’이 될 수 밖에 없을 것”이라고 경고했다.

저작권자 © 애플경제 무단전재 및 재배포 금지