급증하는 공급망 공격
최근 몇 년 동안 가장 피해가 크고 세간의 이목을 끄는 사이버 보안 사고는 대부분 공급망 공격이었습니다. 이러한 급증에는 많은 요인이 있을 수 있지만 가장 중요한 것 중 하나는 사이버 팬데믹입니다.
COVID-19는 현대 비즈니스를 변화시켰고, 많은 조직이 완전히 전환할 준비가 되지 않았을 때 원격 근무와 클라우드 채택을 강요했습니다. 그 결과, 사이버 보안 기술 격차로 인해 인력이 부족한 경우가 많은 보안 팀은 압도되어 따라갈 수 없습니다.
공급망 공격의 예
원격 근무와 과중한 보안 팀으로 인해 생성된 새로운 공격 벡터로 인해 사이버 범죄자는 공급망 공격을 수행할 수 있는 많은 기회를 갖게 되었습니다. 최근 몇 년 동안 가장 큰 것 중 일부는 다음과 같습니다.
- SolarWinds: 2020년에 해킹 그룹이 SolarWinds의 프로덕션 환경에 액세스하여 Orion 네트워크 모니터링 제품 업데이트에 백도어를 내장했습니다. 악성 업데이트를 실행하는 SolarWinds 고객은 데이터 침해 및 기타 보안 사고를 겪었습니다.
- 카세야: REvil 랜섬웨어 갱단은 MSP(Managed Services Provider)용 소프트웨어를 제공하는 소프트웨어 회사인 Kaseya를 악용하여 1,000명 이상의 고객을 랜섬웨어로 감염시켰습니다. 이 그룹은 영향을 받는 모든 고객에게 암호 해독 키를 제공하기 위해 7천만 달러의 몸값을 요구했습니다.
- 코덱 : Codecov는 Bash 업로더 스크립트(회사에 코드 커버리지 보고서를 보내는 데 사용됨)가 공격자에 의해 수정된 소프트웨어 테스트 조직입니다. 이 공급망 익스플로잇을 통해 공격자는 소스 코드, 비밀 등과 같은 민감한 정보를 CodeCov 고객의 자체 서버로 리디렉션할 수 있었습니다.
- 낫페트야: NotPetya는 컴퓨터를 암호화했지만 암호 해독을 위한 비밀 키를 저장하지 않은 가짜 랜섬웨어 멀웨어였습니다. 그것을 "와이퍼"로 바꾸는 것이라고합니다.
- 낫페트야(NotPetya) 공격은 우크라이나 회계법인이 해킹을 당하고 멀웨어가 악성 업데이트에 포함되면서 공급망 공격으로 시작됐다.
- 아틀라시안: 2020년 11월, Check Point Research(CPR) 는 결합될 때 SSO를 통해 연결된 계정과 다양한 Atlassian 앱을 제어하는 데 악용될 수 있는 일련의 취약점을 발견했습니다.
- 이 취약점을 잠재적인 공급망 공격으로 만드는 이유는 공격자가 이러한 결함을 악용하고 계정을 제어하면 나중에 활용할 수 있는 백도어를 설치할 수 있기 때문입니다.
- 이로 인해 심각한 피해가 발생할 수 있으며 손상이 발생한 후에만 감지되고 제어됩니다.
- Check Point Research는이 정보를 Atlassian 팀에 책임감 있게 공개했으며, 사용자가 다양한 플랫폼에서 정보를 계속 안전하게 공유 할 수 있도록 솔루션을 배포했습니다
- 영국항공: 2018년 영국항공은 Magecart 공격을 받아 항공사 웹사이트에서 380,000건 이상의 거래가 중단되었습니다. 이 공격은 공급망 공격으로 인해 항공사 공급업체 중 하나가 손상되고 British Airways, Ticketmaster 및 기타 회사로 확산되었습니다.
공급망 공격의 작동 방식
공급망 공격은 서로 다른 조직 간의 신뢰 관계를 이용합니다. 모든 조직은 네트워크 내에서 회사의 소프트웨어를 설치 및 사용하거나 공급업체로 협력할 때 다른 회사에 대한 암묵적인 신뢰 수준을 가지고 있습니다.
공급망 공격은 신뢰 체인에서 가장 취약한 링크를 대상으로 합니다. 한 조직에 강력한 사이버 보안이 있지만 안전하지 않은 신뢰할 수 있는 공급업체가 있는 경우 공격자는 해당 공급업체를 표적으로 삼습니다. 벤더의 네트워크에 발판을 마련한 공격자는 신뢰할 수 있는 관계를 사용하여 보다 안전한 네트워크로 전환할 수 있습니다.
공급망 공격 대상의 일반적인 유형 중 하나는 관리형 서비스 제공업체(MSP)입니다. MSP는 고객의 네트워크에 심층적으로 액세스할 수 있으며, 이는 공격자에게 매우 중요합니다. 공격자는 클라우드 관리 서비스(MSP)를 악용한 후 고객 네트워크로 쉽게 확장할 수 있습니다. 이러한 공격자는 공급망 취약성을 악용하여 더 큰 영향을 미치고 직접 공격하기 훨씬 더 어려운 네트워크에 액세스할 수 있습니다. 이것이 Kaseya 공격자가 랜섬웨어로 많은 조직을 감염시킨 방법입니다.
다른 공급망 공격은 소프트웨어를 사용하여 조직의 고객에게 멀웨어를 제공합니다. 예를 들어, SolarWinds 공격자는 회사의 빌드 서버에 대한 액세스 권한을 얻고 SolarWinds Orion 네트워크 모니터링 제품에 대한 업데이트에 백도어를 주입했습니다. 이 업데이트 코드가 고객에게 푸시되었을 때 공격자는 네트워크에도 액세스할 수 있었습니다.
공급망 공격의 영향
공급망 공격은 공격자에게 조직의 방어를 뚫을 수 있는 또 다른 방법을 제공할 뿐입니다. 다음과 같은 모든 유형의 사이버 공격을 수행하는 데 사용할 수 있습니다.
- 데이터 유출: 공급망 공격은 일반적으로 데이터 침해를 수행하는 데 사용됩니다. 예를 들어, SolarWinds 해킹은 여러 공공 및 민간 부문 조직의 민감한 데이터를 노출시켰습니다.
- 멀웨어 감염: 사이버 범죄자들은 종종 공급망 취약성을 악용하여 대상 조직에 멀웨어를 전달합니다. SolarWinds에는 악성 백도어 전달이 포함되었으며, Kaseya 공격은 이를 악용하도록 설계된 랜섬웨어로 이어졌습니다.
공급망 공격 식별 및 완화를 위한 모범 사례
공급망 공격은 회사와 다른 조직 간의 안전하지 않은 신뢰 관계를 이용합니다. 이러한 공격의 위험을 완화하는 몇 가지 방법은 다음과 같습니다.
- 최소 권한 구현: 많은 조직에서는 직원, 파트너 및 소프트웨어에 과도한 액세스 및 사용 권한을 할당합니다. 이러한 과도한 권한으로 인해 공급망 공격을 더 쉽게 수행할 수 있습니다. 최소 권한을 구현하고 모든 사용자와 소프트웨어에 작업을 수행하는 데 필요한 권한만 할당합니다.
- 네트워크 세그멘테이션 수행: 타사 소프트웨어 및 파트너 조직은 네트워크의 모든 구석에 대한 무제한 액세스가 필요하지 않습니다. 네트워크 세그멘테이션을 사용하여 비즈니스 기능에 따라 네트워크를 영역으로 나눕니다. 이렇게 하면 공급망 공격으로 네트워크의 일부가 손상되더라도 네트워크의 나머지 부분은 계속 보호됩니다.
- DevSecOps 사례 준수: 보안을 개발 수명 주기에 통합하면 Orion 업데이트와 같은 소프트웨어가 악의적으로 수정되었는지 여부를 감지할 수 있습니다.
- 자동화된 위협 차단 및 위협 헌팅: SOC(보안 운영 센터) 분석가는 엔드포인트, 네트워크, 클라우드 및 모바일을 포함한 조직의 모든 환경에서 공격으로부터 보호해야 합니다.
체크 포인트로 공급망 공격으로부터 보호
공급망 공격자는 조직 환경 내에서 모니터링이 부족하다는 점을 이용합니다. 체크 포인트 Harmony Endpoint 는 손상을 가리킬 수 있는 의심스러운 동작에 대해 애플리케이션을 모니터링하여 조직이 이러한 위협으로부터 보호할 수 있도록 지원합니다.
Harmony Endpoint가 방어하는 공격 유형에 대해 자세히 알아보려면 체크 포인트의 2021년 사이버 보안 보고서를 확인하세요. 그런 다음 보안 검사를 수행 하여 환경 내의 보안 문제에 대해 알아봅니다. 무료 데모를 통해 이러한 보안 격차를 해소하는 방법도 배울 수 있습니다.