지난해 12월 정보기술(IT) 업계를 떠들썩하게 한 솔라윈즈 해킹 사태가 일어났다. '선버스트' 또는 'UNC2452 캠페인'으로 명명된 이 사건은 IT 모니터링 솔루션 기업 솔라윈즈의 오리온 플랫폼에 악성코드를 삽입하고 내부 시스템에 침투, 표적 환경을 해치는 공급망 공격이었다. 정보 보안에서 공급망 공격 전례가 없는 것은 아니지만 이번 공격은 상당히 복잡하고 체계적이었다. 의도적으로 계획된 사이버 스파이 공격이었다.
이번 공격은 보통 보안 전문가가 접하는 공격보다 훨씬 고도로 숙련된 공격자가 시행한 것으로 보인다. 솔라윈즈 오리온은 미국 통신업체, 미국 5대 회계법인, 세계 수백여 대학 등에서 널리 사용된 플랫폼 가운데 하나다. 세계적으로 인정받아 온 플랫폼에 선버스트 악성코드를 탑재하고 1만8000여 기업에 손해를 끼칠 만큼 공격자는 정교한 기술력을 보유하고 있었다.
빠르게 변화하는 환경, 특히 코로나19 팬데믹 이후 급변하는 환경에 민첩하게 대응하기 위해 외부 벤더 솔루션과의 서비스를 적극 활용하는 기업이 늘고 있다. 그러나 내부 공급망과 다각도로 긴밀하게 맞닿아 있는 수많은 솔루션을 일일이 검사하고 보안 위협을 탐지해 내기는 매우 어렵다. 나쁜 소식은 공격자는 점점 더 정교해지고 공급망 공격은 잦아지고 있다는 것이다.
이에 대응하려면 제대로 된 검증 도구, 위험 정량화 분석 기술, 운영 역량이 필요하다. 그러나 이를 갖추지 못한 대부분의 조직이 취약점 스캐너, 침투 테스트, 레드 팀, 침입과 공격 시뮬레이션에 의존하고 있는 상황이다. 이런 접근 방식은 내재적으로 한계가 있어 보안 효율성을 충분히 평가하기 어렵고, 특정 위협을 우선순위화해서 제공하는 등 인사이트를 기대하기도 어렵다.
효과적인 보안 효율성 평가는 조직이나 산업을 표적으로 하는 공격자에 대한 인텔리전스가 기본이다. 보안 검증이 가장 필요한 요소와 최적화된 방어에 대한 인사이트가 기반으로 작용해야 한다.
먼저 사이버 위협 인텔리전스를 바탕으로 조직과의 연관성이 가장 높은 위협의 우선순위를 지정한 뒤 현재의 보안성에 대해 정확히 측정·분석할 수 있어야 한다. 이를 통해 식별해 낸 보안 허점과 성능 데이터를 바탕으로 보안 환경을 최적화해야 한다.
다음 단계에서는 보안 포트폴리오와 프로세스를 개선해 불필요한 중복성을 제거해야 한다. 마지막은 검증 대상의 보안 환경을 적정 기준치와 대조하고 지속적으로 비교·평가하기 위한 단계다. 이로써 보안 인프라를 비롯한 IT 환경에서 일어나는 변화를 꾸준히 관찰할 수 있다.
이와 같은 방식으로 위협 인텔리전스 데이터와 모든 보안 툴의 성능 측정을 위한 모니터링 기능을 통합해 볼 수 있다면 시스템 전반의 잠재적인 위협에 대한 가시성을 360도 확보할 수 있다.
UNC2452의 경우 공격자가 침투 과정에서 일반적으로 사용하는 표준 공격 활동과는 매우 상이한, 아주 정교한 네트워크 침투 능력을 보였다. UNC2452 공격자는 비교적으로 모니터링 강도가 낮은 영역을 노려 침투했으며, 해당 영역에서 최대한 오래 머물며 탐지 가능성을 줄이는 모습도 포착됐다. 위협에 대한 가시성을 전방위적으로 확보할 수 있었다면 문제가 심각한 수준에 도달하기 전에 신속하게 파악할 수 있었을 것으로 예상된다.
앞에서 언급했듯 공급망을 노린 공격은 갈수록 치밀해지고 다양하게 변화하고 있다. 세계가 코로나19 팬데믹으로 혼란을 겪는 동안에도 공격자들은 더욱 다양한 방법으로 사이버 위협을 가하고 있다. 보안 효율성 검증을 통한 선제적인 내부 공급망 보안, 특히 외부 벤더와 연결된 네트워크를 포함한 시스템 보안이 조직의 공급망 생태계 전체를 보호할 수 있는 최고의 방어일 것이다.
전수홍 파이어아이코리아 지사장 korea.info@FireEye.com