7월4일주가 지나고, 우리 산업계는 또 한번 대규모의 주목할만한 랜섬웨어 공격을 곱씹어 보고 있습니다. 이번에는 카세야(Kaseya)의 네트워크 모니터링과 원격 관리 소프트웨어의 취약점입니다. 이 소식은 7월2일 금요일 오후에 처음 알려졌고, 주말을 지나면서 주요 언론매체와 해커 뉴스 사이트에 빠르게 퍼졌습니다.
대부분의 미국인들이 연휴에서 복귀하면서 실제로 어떤 일이 일어난 것인지 점점 더 많은 정보가 모이기 시작했습니다. 카세야 공격이 정말로 “소프트웨어 공급망" 공격으로 정의할 수 있는가를 놓고 아주 흥미로우면서 미묘한 논쟁이 시작되기도 했습니다.
참조: 카세야의 고객 기반은 개별 기업과 매니지드 서비스 제공업체 (Managed Service Provider (MSP) 입니다. 이런 MSP 사업자들은 수백, 수천개의 비즈니스 고객에게 IT서비스를 제공하고 있으며, 대부분이 중소기업으로 IT부서가 제한적이거나 없는 그런 고객들입니다. (소규모 병원이나 회사사무소 법률사무소등)
카세야 공격에 대한 보고서들이 등장하면서, 초기에는 랜섬웨어 공격자가 기업의 빌드 인프라를 포함하여 백엔드 소프트웨어 개발 파이프라인에 대한 접근권한을얻게 되었을 것이라는 추측이 있었습니다. 공격자들이 접근권한을 가지게 되면 카세야의 비즈니스와 MSP 고객을 지원하는 온프레미스에서 운영되는 VSA 소프트웨어에 악성코드를 주입할 수 있었을 겁니다. 다시 말해, 공격자들이솔라윈드(SolarWinds)를 공격했던 것과 동일한 방법으로카세야를 침해했을 것으로 예상하고 있었습니다.
그러나, 카세야는 솔라윈드와같지 않았다는 것을 이제는 깨달았습니다. 대신, 카세야를공격한 해커들은 카세야 소프트웨어 내에서 과거 한번도 본적이 없었던, 혹은 제로데이, 보안 취약성 (CVE-2021-30116)을 통해 침해하였습니다. 해커들에게만 알려진 새로 발견된 취약성들로인해 카세야 소프트웨어의 온프레미스 버전이 공격을 당할 수밖에 없었고, 결과적으로 랜섬웨어 공격이 이뤄졌습니다. 그리고, 대다수의 카세야 고객이 MSP였기에, 해커들은 매일 진행되는 IT기능을 아웃소싱하는 1500개에 달하는 중소기업의 실제 비즈니스에 랜섬웨어 공격을 가할 수 있었습니다.
카세야가 발표한 장애 리포트에 따르면,“해커들은 VSA 제품 내의 제로데이 취약성을 공격하여 인증을 우회하고 임의의 명령을 실행할수 있었습니다. 해커들이 표준 VSA 제품의 기능을 이용하여엔드포인트에 랜섬웨어를 배포하였지만, 카세야의 VSA 코드베이스가악성적으로 수정된 증거는 없습니다.” 즉, 해커들은 솔라윈드를공격했던 것처럼(예를 들어, 업스트림 빌드 프로세스를 손상시키는) 카세야의 소프트웨어를 감염시키지는 못했습니다.
오늘 아침부터 링크드인의 동료들과 일부 트윗을 통해 카세야는 소프트웨어공급망 공격으로 간주할 수 없다고 이야기하는 포스트들이 보이기 시작했습니다.
트위터 사용자 엘로이(Eloy) 는 이것이 Pre-auth RCE 취약성인지 묻고 있습니다.
트위터 사용자 올레크시(Oleksy) 는 다운스트림 대상의 사례를 레퍼런스로 제시합니다.
지난 6년간의 소프트웨어 공급망 위협을 매우 깊이 관찰해온 경험을 바탕으로 이 논쟁에 제 소견을 보태려고 합니다. 저는 “소프트웨어 공급망 공격”에는 여러가지 다른 타입이 있고, 아래와 같은 공격목표를 포함한다고 생각합니다.
1. 업스트림 오픈소스 의존성 (event stream, octopus scanner/netbeans, name space confusion, 등).
2. 업스트림 빌드 인프라 (SolarWinds).
3. 업스트림 업데이트 매카니즘 (NoxPlayer).
4. 업스트림 MSP와 선택한 앱 (Kaseya).
실제로 소프트웨어 공급망을 악용하는 경로는 매우 다르지만, 한가지 공통점이 있습니다. 모든 공격 벡터는 다운스트림을 공격을 확장하기 위해 업스트림 대상을 목표로 하고 있다는 점입니다.
이런 이유로, 한편으로 카세야는 솔라윈드와는 완전히 다르지만 다른 한편으로 “공급망” 공격이라는 부분에서 비슷합니다.
더욱이, 만약 카세야가 공급망 공격이 아니라면, 이건 무엇일까요? 이는 여러분이 비용을 지불하는 외부 서비스이며, 여러분의 여러 컴퓨터 장치들에 매우 높은 신뢰도를 보이며 접근을 허락하고 있습니다. 제 느낌에 이는 정확하게 공급망 공격으로 생각되어집니다.
소나타입(Sonatype)에서 일하고 있는 저와 제 동료들에게 있어, 이번 사태는 또 하나의 매우 오랜 기간 동안 관찰되어온 트렌드이기도 합니다. 다운스트림 공격의 희생자를 확대하기 위해, 공격자들은 기술자산과 디지털 가치흐름의 업스트림에 속해 있는 제공업체를 점점 더 많이 대상으로 삼고 있습니다. 이는 오픈소스 라이브러리, IDE, 빌드 서버, 업데이트 서버와 최근의 카세야 사태처럼 MSP를 포함합니다.
비록 다운스트림 기술 자산 영역을 보호하기 위해 많은 도구들이 나와 있지만 사실은 다음과 같습니다. 바로 소프트웨어 자체가 디지털 리스크의 가장 취약한 부분이 되어 간다는 것입니다. 만약 지난 몇 개월을 지표로 삼는다면, 다운스트림 악용의 희생자를 확대하기 위해 공격자들이 지속적으로 업스트림 소프트웨어 공급망 자산을 공격의 대상으로 삼을 것이라는 점을 예상할 수 있습니다.
지금이 산업계와 사이버 보안팀이 좀 더 관심을 좌측으로 돌려야 할 때입니다 (Shift Left). 그동안 코드를 개발해왔던 동료들과 협업을 함으로써 오랜 기간 동안 다운스트림을 보호해 왔던 에너지와 활력만으로도 업스트림 영역을 보호할 수 있습니다. 쉽게 말해 , 우리는 설계부터 보안이 강화된 소프트웨어 어플리케이션을 개발하고 유지하는데 더 집중해야 합니다.
Key Takeaways
• 빠른 속도가 중요합니다. 제로데이 공격이 꾸준히 발견되고 있고, 빠르게 앞으로 나아가는 것이 더욱 중요해졌기 때문입니다. 개발 사이클, 사이버 보안 정책 그리고 베스트 적용사례 부분에서 Shift-left 가 필요하다는 의미입니다.
• 공급망이 중요하다는 것을 이해 해야합니다. 오픈소스와 서드 파티 의존도는 현대화된 소프트웨어 개발의 큰 부분을 차지합니다. 서드 파티 의존도에 대한 출처와 건강상태를 이해하는 것이 좋은 개발 과정의 기본입니다.
• 최신 버전의 소프트웨어가 중요합니다. 오픈소스 의존도가 오래될 수록 결함 (보안, 아키텍처, 라이센스)을 가지고 있을 가능성이 높아집니다. 만약 정기적으로 업데이트를 하고 있지 않다면 여러분의 소프트웨어는 보안에 취약해집니다. 우리가 늘 이야기하듯이, 소프트웨어는 와인이 아니라 우유처럼 시간이 지나면 상합니다. 그러니 반드시 최신 버전의 소프트웨어를 사용하세요.
Tags: vulnerabilities, Software Supply Chains, featured, News and Views, Industry commentary
Written by Matt Howard
매트는 20년 이상의 빠르게 성장하는 소프트웨어 기업 출신의 임원이며 기업가입니다. 소나타입에서 마케팅, 전략 파트너십 및 수요창출 이니셔티브를 이끌고 있습니다.
.png)
