최근 공급망 해킹이 이슈가 되고 있습니다.
공급망 해킹이란?
공급망 해킹(Supply Chain Attack)은 기업이나 조직을 직접 공격하는 대신, 그 기업이 사용하는 소프트웨어, 하드웨어, 또는 외부 협력업체(공급망)를 중간에 변조하여 최종 목표를 공격하는 방식을 말합니다.
보안이 강력한 대기업이나 정부 기관을 직접 뚫기 어렵기 때문에, 상대적으로 보안이 취약한 하위 협력업체나 대중적인 소프트웨어 업데이트 서버를 우회로로 삼는 ‘트로이 목마’ 같은 공격 기법입니다.
일반적인 해킹이 성벽(방화벽)을 직접 무너뜨리는 것이라면, 공급망 해킹은 성안으로 들어가는 ‘식자재 트럭’이나 ‘성문 수리공’의 도구에 미리 독이나 도청장치를 심어두는 것과 같습니다.
최종 목표 기업의 보안이 아무리 철저해도, 그들이 신뢰하고 사용하는 외부 프로그램이나 부품이 이미 오염되어 있다면 시스템은 무방비로 뚫릴 수밖에 없습니다.
⚙️ 공급망 해킹의 주요 유형
공격 대상과 방식에 따라 크게 세 가지 유형으로 나뉩니다.
- 소프트웨어 공급망 공격 (가장 흔함)
방식: 기업들이 자주 쓰는 유명 소프트웨어의 소스 코드나 업데이트 서버를 해킹하여 악성코드를 삽입합니다.
특징: 사용자는 공식 홈페이지나 정기 업데이트를 통해 다운로드하므로, 정상적인 프로그램으로 인식해 의심 없이 설치하게 됩니다. - 하드웨어 공급망 공격
방식: 서버나 PC, 스마트폰이 제조되어 납품되는 과정(공장, 유통 단계)에서 칩셋이나 메인보드에 미세한 스파이 칩이나 악성 펌웨어를 심는 방식입니다.
특징: 육안으로 발견하기 매우 어렵고, 하드웨어 수준에서 작동하므로 탐지가 백신 프로그램으로 잡아내기 어렵습니다. - 서드파티(협력업체) 우회 공격
방식: 대기업과 연동된 시스템을 가진 보안이 취약한 유지보수 업체, 소형 협력업체의 계정을 탈취하여 최종 목적지에 침투합니다.
🚨 대표적인 공급망 해킹 피해 사례
공급망 해킹은 한 번 성공하면 수많은 기업이 동시에 피해를 입기 때문에 파급력이 엄청납니다.
솔라윈즈(SolarWinds) 사태 (2020년): 미국의 IT 네트워크 관리 기업인 솔라윈즈의 업데이트 시스템이 해킹당했습니다. 이들의 소프트웨어를 쓰던 미 정부 기관(국방부, 국무부 등)과 포춘 500대 기업 등 약 18,000곳이 악성코드가 포함된 업데이트를 설치해 사상 최대의 보안 피해를 입었습니다.
ASUS 업데이트 서버 해킹 (2019년): 글로벌 노트북 제조사 ASUS의 공식 라이브 업데이트 서버가 해킹되어, 수십만 대의 PC에 정상적인 업데이트로 위장한 악성코드가 배포되었습니다.
타겟(Target) 백화점 개인정보 유출 (2013년): 미국의 대형 유통업체 타겟이 해킹당해 7,000만 명의 고객 정보가 유출되었습니다. 조사 결과, 범인들은 타겟을 직접 해킹한 것이 아니라 타겟의 냉난방(HVAC) 시스템을 관리하는 외부 협력업체의 계정을 훔쳐 내부망으로 침투한 것이었습니다.
🔒 공급망 해킹이 무서운 이유와 대응책
신뢰의 악용: 사용자가 100% 신뢰하는 정식 업데이트나 대기업 제품을 통해 침투하므로 방어벽이 무력화됩니다.
도미노 효과: 공급업체 한 곳만 뚫으면 그 서비스를 이용하는 수백, 수천 개의 고객사를 동시에 감염시킬 수 있습니다.
어떻게 대응해야 할까?
제로 트러스트(Zero Trust) 도입: “아무도 믿지 않는다”는 원칙하에 내부망에 들어온 소프트웨어나 협력업체 계정이라도 끊임없이 검증하고 권한을 최소화해야 합니다.
특히 최근에 TeamPCP발 Github 공급망 해킹이 발생햇는데요.
특히 이번 사건은 아직 얼마나 퍼졌는지 확인도 쉽지 않은 상황입니다. 거기다가 AI개발로 인하여 패키지 버전 등을 잘 확인하지 않는 경우 너무나 취약하게 공급망 해킹에 당할 수 밖에 없습니다.
이제는 자동 업데이트를 끄고 살아야 하고 개별 패키지 별로 안전한지 확인하는 노력이 필요합니다.
단순히 딸깍 하고 AI로 개발하다가는 공급망 해킹의 피해자가 될 수 밖에 없는 구조입니다.