기업이 사용중인 소프트웨어(SW)를 공격 대상으로 삼는 해킹 방법인 ‘공급망 공격(Value-chain attack)’이 보안업계의 화두로 떠오르고 있습니다.
l 공급망 공격(Value-chain attack)
: 자사의 시스템 및 데이터에 접속할 수 외부 협력업체나 공급업체를 통해 누군가가 시스템에 침투할 때 발생
새로운 유형의 공격, 위협에 대한 대중의 인식 증가, 규제 기관의 감독 증가로 인해 공급망 공격과 관련된 위험이 그 어느 때보다 높아졌습니다. 공격자는 그 어느 때보다 많은 자원과 도구를 마음대로 사용할 수 있으며, 한 번 성공하면 표적이 된 SW를 사용하는 여러 기업으로 피해가 확산되기 쉽습니다. 때문에 상대적으로 보안 체계가 강력한 대기업이나 금융·안보기관 등을 우회 공격할 수단으로 쓰이는 상황이 발생하기도 합니다.
공급망 공격, SW 개발-설계-구현-유통 단계별 허점 공략
올해 초 발생한 솔라윈즈 사건은 해커가 공급망 공격을 통해 미국 주요 안보기관을 포함한 공공기관과 마이크로소프트(MS) 등 보안 기업까지 해킹한 사례입니다. IT 모니터링 솔루션 ‘오리온’을 공급하는 벤더사인 솔라윈즈가 해킹되면서, 이를 사용하는 약 1만8천개의 기업, 기관까지 악성코드가 유포된 것입니다. 파급력이 큰 공격 사례로, 더불어 표적인 기업·기관의 보안 체계를 직접적으로 접근하지 않기 때문에 해킹 사실을 인지하기 어렵다는 특징도 이번 사건에서 드러났습니다. 당시 해킹 피해가 글로벌 지역에까지 광범위하게 퍼진 것으로 드러나면서 국내에서도 피해 여부를 조사하고, 악성코드 감염을 예방하기 위한 대응을 추진하였습니다. 사이버침해 대응을 담당하는 한국인터넷진흥원(KISA)에 따른 국내에서 접수되는 공급망 공격 유형 사례 및 대응 방안을 알아보았습니다.
1) 공급망 공격의 유형
시큐어코딩, 개발 단계에서부터 더 안전한 보안을 생각하다
위의 사고사례처럼 SW를 개발하는 과정에서 발생한 취약점이 해결되지 않고 시장이 공급되어 해커가 취약점을 악용, 해킹하여 정보를 탈취하는 경우 그 피해를 해결하는데 큰 비용과 긴 시간이 소요됩니다. 그렇기 때문에 SW를 개발하는 과정에서 작성 중인 소스코드 상의 취약점을 탐지하는 SW개발보안, 즉 시큐어코딩 기술을 활용한 대응이 필요하며, 이 과정을 통해 소스코드를 작성하는 구현단계에서부터 보안취약점을 배제할 수 있습니다.
1) 시큐어코딩이란?
시큐어코딩이란 안전한 소프트웨어 개발을 위해 소스코드 등에 재할 수 있는 잠재적인 보안 취약점을 제거하고, 보안을 고려하여 기능을 설계 및 구현하는 등 소프트웨어 개발 과정에서 지켜야 할 일련의 과정을 말합니다. 홈페이지나 소프트웨어 개발 시 보안 취약점을 악용한 해킹 등 내외부 공격으로 시스템을 안전하게 방어할 수 있도록 대한민국은 2012년 12월부터 SW개발단계부터 보안 취약점을 제거하는 ‘SW 개발 보안 의무제’를 시행하였습니다.
2) 행정안전부 제공 소프트웨어 개발보안(시큐어코딩) 가이드
SW 개발 보안 의무제를 시행중인 만큼, 행정안전부에서는 안전한 소프트웨어 개발 또는 유지보수를 위하여 각종 사이버 위협으로부터 벗어날 수 있도록 7개 유형, 47개 항목의 보안 취약점 제거를 위한 가이드 지침을 제공합니다.
빠르고 정확하게 소스코드 보안 취약점 검출, 시큐어코딩 솔루션 Sparrow SAST
직접 코딩을 하는 개발자 입장에서는 취약점을 하나하나 고려하는 프로그래밍이란 시간도 많이 소요될 뿐더러, 개발자의 실수나 판단 오류가 개입될 수 있기 때문에 소스 코드를 스캐닝(Scanning)해서 취약점을 정확하고 빠르게 검출하는 정적 분석 도구가 필요합니다. Sparrow SAST는 다양한 분석 기술을 바탕으로 행정안전부 보안약점, CWE, CERT, OWASP, 전자금융감독규정, 국정원 8대 취약점 등 다양한 점검 항목을 지원하며 검출된 취약점에 대해 실제 소스코드의 자동 수정 제안까지 제공하는 지능형 솔루션입니다.
1) Sparrow 배경 및 도입 필요성
① 높은 비중의 웹 기반 공격 및 취약한 웹 애플리케이션
② 잠재적인 보안취약점 제거하여 안전한 소프트웨어 개발
③ 공공·금융기관 및 일반 기업의 컴플라이언스 이슈
2) Sparrow SAST 특장점
3) Sparrow SAST 도입으로 인한 기대효과
l 컨설팅과 비교 시 솔루션 도입의 이점
4) Sparrow SAST 레퍼런스
l 공공기관 도입
공공정보화 사업에서 시큐어코딩이 의무화되었고, 개발 프로그램의 안정성과 보안성이 요구되는 모든 사업에 시큐어 코딩이 적극적으로 검토되면서 시큐어코딩 시장의 성장세는 더욱 가속화될 전망입니다.
A공공기관은 전산 인프라의 노후화에 따른 민원·행정서비스 중단 등 잠재적 위험요소를 제거하기 위한 해결방안을 필요로 했고, 또한 개인정보보호법 개정안이 시행되면서 다루고 있던 개인정보 처리에 대한 공동 작업이 수행되어야 했습니다. 이를 위해 B공공기관은 차세대 시스템 구축 프로젝트 수행 시 스패로우를 활용해 개발 보안성을 더욱 강화하고자 했습니다.
당시 A공공기관은 개발된 프로그램에 대한 코딩표준안을 가지고 개발을 진행했으며, 만들어진 코딩표준을 체크하는 품질관리는 하고 있지 않아, 이에 개발단계부터 소스코드의 잠재적 오류를 검증하고 제거하는 품질 분석 자동화 체계와 시큐어코딩으로 보안성을 확보할 수 있는 소스코드 분석도구가 동시에 필요했습니다. 스패로우 채택 후 SW 개발 초기 코딩단계부터 실행오류, 코딩표준, 시큐어코딩을 모두 점검할 수 있는 스패로우를 개발 인프라로 적용하였고 신뢰성, 보안성, 유지보수성을 모두 확보하며 성공적인 프로젝트를 수행했습니다.
A공공기관 사업 담당자는 정보시스템 구축운영지침의 의무화 규정 때문에 컴플라이언스 준수를 위해 시큐어코딩 분석도구를 도입해 운영해보니 시큐어코딩 위배 사항이나 불필요한 코드 등을 검출해 수정하는데 효과적으로 활용할 수 있었다고 전했습니다. 스패로우는 우수한 제품력을 증명하듯 공공시장에서의 입지를 넓혀가고 있으며, 업계 최초로 소스코드보안약점 분석도구 CC인증을 획득하고 국내 시큐어코딩 시장 점유율 1위를 기록했습니다.
l 건설사(일반 기업) 도입
시큐어코딩이 의무화되었던 시기부터 지금까지도 마찬가지로, 소프트웨어의 중요성이 상대적으로 낮은 편이었던 건설업계 역시 시큐어코딩 솔루션을 도입하는 움직임은 소프트웨어의 개발 보안 인식이 전 산업으로 확대되고 있음을 증명합니다. SK건설의 경우 최근 홈IoT의 안전성 인식이 높아지고 대내외적으로 회사 내부시스템에 대한 보안 검증 또한 요구되면서, 모든 시스템의 소스코드에 대한 보안 취약점 점검이 필수 요건으로 부각되고 있다며 도입 취지를 밝혔습니다. 가전, 주택, 자동차 등 일반 생활에서 소프트웨어의nn 활용이 급증함에 따라, 스패로우 사스트는 소프트웨어의 보안 취약점을 악용한 해킹 등으로부터 방어하기 위한 필수 수단으로 공공기관 및 금융기관, 그리고 최근에는 일반 기업까지 점차 그 도입 영역을 확대하고 있습니다.
소프트웨어의 출시까지의 과정을 보면 도출->설계->개발->테스트->출시의 과정을 거치게 됩니다. 설계나 구현 단계에서의 취약점 결함 발견 및 조치 시 1배~5배의 비용이 투자되지만, 제품 테스트 혹은 출시 과정에서의 취약점 결함 발견은 약 30배까지의 비용이 발생합니다. 개발 초기 단계에서부터 안전한 소프트웨어를 위해 투자하는 비용은 장기적인 결과를 놓고 봤을 때 전체적인 비용을 절감하며, 더 안전한 소프트웨어를 개발하는 효과가 있습니다. 즉, 개발 초기부터 ‘시큐어코딩’을 하는 것이 효과적입니다. 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하며, 검출된 취약점에 대한 소스코드의 자 수정 제안까지 제공하는 스패로우를 선택하세요.