개요
소프트웨어 공급망(Supply Chain)은 SW 개발 단계에서 사용자에게 도달하기 전까지를 일컫는다.
개발 환경, 소스 코드 저장소, 소프트웨어 배포 플랫폼까지 포함된다.
위와 같이 SW 개발 프로세스를 탈취하여 해당 SW의 사용자에게 영향을 끼치는 모든 경우를 공급망 공격이라고 부른다.
| 공급망 단계 | 공격 유형 | 공격 사례 |
| 개발서버 | 서버 침투 및 악성코드 삽입 | SolarWinds(20~21), Codecov(21), Kaseya(21) |
| 프로젝트 파일 대상 악성코드 배포 | Octopus Scanner(20), rest-client(19) | |
| 악성 IDE 배포 | Xcode Repackaging(15) | |
| 저장소 | 오펀 패키치 탈취(Orphan Package Takeover) | Arch User Repository acroread(18) |
| 계정 탈취 | Sawfish phishing campaign(20) | |
| 패키지 매니저 | 의존성 혼동(Dependency Confusion) | Alex Birsan's Research(20~21) |
| 타이포스쿼팅 공격(Typo-squatting Attack) | Electron(20), atlas-client(20) | |
| 악성 패키지 배포 | 1337qq-js(20) | |
| 계장 탈취 | RubyGems-strong_password(19) |
+ Log4Shell, XZ Utils
SW 공급망 보안의 중요성
대형 SW 공급망이 매해 식별되고 심지어 Codecov는 repository 인증 정보가 유출됨
미국 사이버보안검토위원회에 따르면 Log4j 같은 경우 취약점이 실제로 보완되려면 10년 이상이 소요될 것으로 예측
국내외 공급망 보안 동향
미국은 21년부터 NIST에서 공급망 보안 가이드를 발표했다.
NSA, CISA, ODNI 등에서 공급망 보안 강화 실행 지침 발표 및 가이드를 발표했다.
EU는 SBOM 제출을 의무화하는 CRA 제정안을 발표하였다.
일본은 SW TF를 설치하여 SBOM PoC를 통해 효과성 검증 및 제도화 방안을 마련 중이다.
국내에서는 정부기관, 금융기관, 방산업체 등 공급망 공격이 식별되었고
국정원, 과기부에서는 공급망 보안 가이드라인을 추진하여 배포하였다.
ETRI에 따르면 국내의 경우 종합적이고 체계적인 분석력을 가진 전문 연구기관, 연구사례가 부족하다고 한다.
향후 조속한 연구 개발이 필요한 실정
공급망 보안 전망
미국, 유럽, 일본 등 하드웨어 공급망 및 소프트웨어 공급망까지 대응 수단을 마련하고 있다.
하지만 SW를 넘어서 HW 부채널 공격에 대한 공급망 보안이 대두될 거 같다.
공급망 보안 관련 글 긁어모으기
1. ETRI : 공급망 보안기술 동향
https://ettrends.etri.re.kr/ettrends/184/0905184013/35-4_149-157.pdf
2. 삼성 SDS : SW 공급망 공격
https://www.samsungsds.com/kr/insights/software-supply-chain-attack.html
3. 국가사이버안보센터 : SW 공급망 보안 가이드라인
4. 고려대 CCSLAB : 오픈소스 SW 공급망 공격 대응 기술 동향
'보안' 카테고리의 다른 글
| GCC 보호기법 해제 (0) | 2024.06.01 |
|---|---|
| 일방향 침해 고급과정 공격 공부 노트 (0) | 2024.05.26 |
| [CVE-2023-46604] Apache ActiveMQ 서버 RCE 취약점 간단한 리뷰 (0) | 2024.05.20 |
| [CVE-2023-20198] Cisco IOS XE Software Web UI 권한상승 취약점 (0) | 2024.05.20 |
| [CVE-2023-20593] AMD VECTOR REGISTER FILE ZENBLEED 취약점 (0) | 2024.05.20 |