Supply Chain Attack - 소프트웨어 공급망 보안 위협과 대응 전략

취약점 개요

소프트웨어 공급망 공격(Supply Chain Attack)은 공격자가 최종 소비자에게 도달하기 전에 제품이나 제품 배달 메커니즘을 조작하여 데이터나 시스템을 탈취하는 정교한 공격 방식입니다. MITRE ATT&CK T1195(Supply Chain Compromise)에 분류된 이 공격 유형은 최근 몇 년간 SolarWinds, Codecov, Kaseya, 3CX 등 대규모 사고를 통해 그 파괴력과 복잡성을 입증했습니다.

공급망 공격은 소프트웨어 업데이트/배포 채널 조작, CI/CD 파이프라인 컴프로마이즈, 오픈소스 의존성 공격, 소스 코드 저장소 조작, 개발 도구 및 환경 조작 등 다양한 벡터를 통해 수행됩니다. 2026년 4월 기준, CISA의 KEV(Known Exploited Vulnerabilities) Catalog에는 1,569개의 악용된 취약점이 등록되어 있으며, 그중 상당수가 공급망 공격과 연관되어 있습니다.

이 Deep Dive에서는 공급망 공격의 기술적 메커니즘, 실제 공격 사례(SolarWinds, Codecov, Kaseya, 3CX), 그리고 엔터프라이즈 환경에서 적용 가능한 방어 전략과 모범 사례를 심층적으로 분석합니다.

기술적 분석

공급망 공격의 5가지 주요 유형

1. 소프트웨어 업데이트/배포 채널 조작

공격자는 합법적 업데이트 서버나 배포 메커니즘을 타겟팅하여 업데이트 패키지에 백도어나 악성 코드를 삽입합니다. 이는 자동 업데이트 시스템을 통해 악성 소프트웨어를 광범위하게 배포할 수 있어 가장 파괴적인 공급망 공격 유형 중 하나입니다.

기술적 요소:
- 패키지 서명 위조 또는 도용
- 업데이트 서버 인증서 탈취
- 배포 파이프라인의 무결성 검사 우회

SolarWinds 공격이 이 유형의 대표적인 예입니다. 공격자는 Orion 플랫폼의 빌드 프로세스에 Sunburst 백도어를 주입하여 합법적인 업데이트로 패키징하고, 2020년 6월부터 11월까지 약 18,000개 고객에게 배포했습니다.

2. CI/CD 파이프라인 컴프로마이즈

빌드 시스템, 테스트 환경, 배포 자동화 도구를 타겟팅하여 빌드 아티팩트에 악성 코드를 주입합니다. 이는 빌드된 모든 아티팩트에 악성 코드가 포함되어 의존하는 다운스트림 프로젝트에 감염이 확산될 수 있습니다.

기술적 요소:
- CI/CD 서버의 권한 상승 취약점 악용
- 빌드 캐시 의존성 조작
- 환경 변수 탈취 (API 키, 자격증명)

Codecov 공격은 이 유형의 전형적인 예입니다. 공격자는 Codecov의 CI 환경을 침투하여 bash uploader 스크립트를 수정하고, 사용자가 이를 다운로드하여 실행하면 CI/CD 환경의 환경 변수(GitHub Actions, CircleCI, GitLab CI 등)가 탈취되었습니다.

3. 오픈소스 의존성 공격

인기 있는 오픈소스 라이브러리의 유지관리자 계정을 탈취하거나 악성 패키지를 npm, PyPI, Maven 등의 레지스트리에 업로드합니다. 이는 해당 패키지를 사용하는 수만~수백만 개의 프로젝트에 감염을 확산시킬 수 있습니다.

기술적 요소:
- 패키지 이름 typosquatting (오타 악용)
- 버전 버전 bumping (최신 버전 가장)
- 패키지 업데이트 시도 스크립트 악용

2023년 3월, Python PyPI 레지스트리에서 발견된 악성 패키지는 인기 있는 라이브러리와 유사한 이름을 사용하여 수만 개의 프로젝트에 감염을 시도했습니다.

4. 소스 코드 저장소 조작

GitHub, GitLab 등의 공개/개인 저장소를 타겟팅하여 저장소의 브랜치나 태그에 악성 코드를 커밋하거나 Pull Request를 통한 코드 인젝션을 시도합니다.

기술적 요소:
- 개발자 계정 탈취 (피싱, 재사용된 자격증명)
- 저장소 권한 설정 오류 악용
- 보안되지 않은 웹훅을 통한 CI/CD 트리거

5. 개발 도구 및 환경 조작

IDE 플러그인, 코드 에디터 확장, 컴파일러, 링커 등 개발 도구를 타겟팅합니다. 이는 개발자 PC에서 직접 악성 코드가 생성되거나 컴파일/빌드 시점에 코드 변조가 발생할 수 있습니다.

기술적 요소:
- 플러그인 마켓플레이스의 악성 플러그인 업로드
- 개발자용 VM 이미지에 백도어 심기
- DockerHub, npm 등 이미지/패키지 레지스트리 조작

주요 취약점 벡터

V1: 인증 우회 취약점

SolarWinds, Kaseya 공격에서 확인된 인증 우회 취약점은 공급망 공격의 주요 진입점입니다. 이는 다단계 인증(MFA) 도입, 제로 트러스트 네트워크 아키텍처 구현, 정기적인 인증 로그 감사로 완화할 수 있습니다.

V2: 정보 노출(Information Disclosure) 취약점

Kaseya 공격(CVE-2021-30116)에서 사용된 정보 노출 취약점은 여전히 위험합니다. 자격증명 암호화 강화, 민감 정보 보호, 접근 제어 강화로 완화할 수 있습니다.

V3: 파일 무결성 검사 부재

Codecov, 3CX 공격에서 확인된 파일 무결성 검사 부재는 공급망 공격의 취약 지점입니다. 파일 해시 검증(SHA256), 코드 서명 확인, SBOM(Software Bill of Materials) 사용으로 완화할 수 있습니다.

V4: 환경 변수 노출

Codecov 공격에서 확인된 CI/CD 환경의 환경 변수 탈취는 심각한 위협입니다. 환경 변수 암호화, 별도의 비밀 관리 서비스 사용(Vault, AWS Secrets Manager 등), 최소 권한 원칙 적용으로 완화할 수 있습니다.

V5: 의존성 관리 부재

오픈소스 의존성의 업데이트 및 취약점 모니터링 부재는 공급망 공격의 취약 지점입니다. 자동화된 의존성 스캔(Dependabot, Snyk 등), Lockfile 검증, 패키지 업데이트 정기적 수행으로 완화할 수 있습니다.

실제 공격 사례 분석

SolarWinds 공격 (2020)

공격 타임라인 및 기술적 분석

초기 침투 (2020년 3월):
APT29(Cozy Bear)로 추정되는 공격자는 SolarWinds 개발 환경에 침투했습니다. 정확한 침투 경로는 밝혀지지 않았으나, 피싱, VPN 취약점, 또는 제3자 공급망을 통한 가능성이 제기되었습니다.

빌드 시스템 조작 (2020년 3월~9월):
공격자는 Orion 플랫폼 빌드 프로세스에 악성 코드를 주입했습니다. 약 4KB의 암호화된 코드가 SolarWinds.Orion.Core.BusinessLayer.dll에 삽입되었습니다. 이 Sunburst 백도어는 졸성 기능(12~14일 대기 후 액티베이션), C2 통신 기능, 추가 페이로드 다운로드 및 실행 기능을 갖추고 있었습니다.

배포 및 확산 (2020년 6월~11월):
악성 코드가 포함된 합법적인 Orion 업데이트가 패키징되고 SolarWinds 고객에게 정기 업데이트로 배포되었습니다. 버전 2020.2.1 HF1부터 2020.4.1까지 감염되었으며, 약 18,000개 고객 중 최소 100개 이상의 엔터프라이즈가 실제 감염되었습니다.

액티베이션 및 C2 통신 (2020년 10월~12월):
감염 후 12~14일 뒤 액티베이션되어 C2 서버(avsvmcloud[.]com, avcloudvirtual[.]com)와 통신을 시작했습니다. DNS tunneling, HTTPS 요청 위장을 사용하며, 난독화된 도메인 생성(Domain Generation Algorithm)으로 탐지를 회피했습니다.

탐지 (2020년 12월):
FireEye가 자사 침투를 탐지하고 보고한 후, Microsoft, CrowdStrike, Palo Alto Networks 등의 보안 기업이 협조하여 IOC(Indicators of Compromise)를 공유했습니다.

영향 및 교훈

SolarWinds 공격은 다음과 같은 영향을 미쳤습니다:
- 직접적 손실: 수백만 달러의 사고 대응 비용
- 간접적 손실: 데이터 탈취, 영업비밀 유출, 신뢰도 하락
- 장기적 영향: 공급망 보안에 대한 전 세계적 인식 제고

교훈:
1. 빌드 시스템의 보안 강화가 필수적입니다.
2. 서드파티 소프트웨어의 신뢰도를 재평가해야 합니다.
3. 업데이트 프로세스의 무결성 검증을 강화해야 합니다.
4. 탐지 기술(ETW, EDI 등)을 개선해야 합니다.

Codecov 공격 (2021)

공격 타임라인 및 기술적 분석

초기 침투 (2021년 1월):
공격자는 Codecov의 CI 환경을 침투했습니다. 정확한 침투 경로는 밝혀지지 않았으나, Docker 이미지 취약점 또는 자격증명 유출 가능성이 제기되었습니다.

Bash Uploader 스크립트 수정 (2021년 1월~4월):
합법적인 bash uploader 스크립트에 악성 코드가 주입되었습니다. 이 스크립트는 https://uploader.codecov.io/latest에서 다운로드되어 CI/CD 환경에서 실행됩니다.

CI/CD 환경 감염 (2021년 1월~4월):
사용자가 악성 스크립트를 다운로드하여 실행하면 CI/CD 환경의 환경 변수가 탈취되었습니다. GitHub Actions(GITHUB_TOKEN), CircleCI(CIRCLE_TOKEN), GitLab CI(CI_JOB_TOKEN), Bitbucket, Azure DevOps, Travis CI 등 다양한 CI/CD 플랫폼의 자격증명이 탈취되었습니다. 여기에는 AWS, GCP, Azure API 키, 토큰 등도 포함되었습니다.

탐지 (2021년 4월 15일):
사용자 보고에 의해 탐지되었으며, Codecov 공식 블로그에서 인정하고 권고문을 발표했습니다.

영향 및 교훈

Codecov 공격은 다음과 같은 영향을 미쳤습니다:
- 직접적 손실: CI/CD 자격증명 탈취로 인한 환경 조작 가능성
- 간접적 손실: 코드 저장소의 무결성 훼손 우려
- 장기적 영향: CI/CD 스크립트의 무결성 검증 중요성 인식

교훈:
1. 외부 스크립트 실행 전 무결성 검증이 필수적입니다.
2. CI/CD 환경의 자격증명은 최소 권한으로 설정해야 합니다.
3. 환경 변수의 민감한 정보는 별도의 보안 저장소를 활용해야 합니다.

Kaseya 공격 (2021)

공격 타임라인 및 기술적 분석

취약점 발견 및 악용 (2021년 4월~6월):
REvil 랜섬웨어 그룹은 Kaseya VSA(Virtual System Administrator)의 정보 노출 취약점(CVE-2021-30116)을 발견하고 악용했습니다. 이 취약점은 CWE-522(Insufficiently Protected Credentials)로 분류되며, 자격증명 노출을 통해 세션 하이재킹이 가능했습니다.

취약점 기술적 세부사항:
- 기본적으로 Kaseya VSA 클라이언트 버전은 클라이언트 설치 파일을 다운로드할 수 있는 기능을 제공합니다 (https://x.x.x.x/dl.asp)
- 공격자는 Windows용 클라이언트를 다운로드하여 설치하면 C:\Program Files (x86)\Kaseya\XXXXXXXXXX\KaseyaD.ini 파일이 생성됩니다
- 이 파일에는 Agent_Guid와 AgentPassword가 평문으로 저장됩니다
- 공격자는 이 자격증명을 사용하여 dl.asp에 접속하고 sessionId 쿠키를 획득할 수 있습니다
- sessionId는 추후 공격에서 인증을 우회하는 데 사용됩니다

초기 공격 (2021년 7월 2일):
공격자는 Kaseya VSA 웹 인터페이스를 통해 자격증명 노출 취약점을 악용하여 VSA 관리자 계정 권한을 획득했습니다. KaseyaD.ini 파일의 자격증명을 사용하여 sessionId를 획득하고, 이를 통해 시스템의 인증을 우유했습니다.

랜섬웨어 배포 (2021년 7월 2일):
VSA 관리자 권한을 사용하여 VSA 에이전트 업데이트 기능을 악용하고, 관리되는 모든 클라이언트 시스템에 REvil 랜섬웨어를 배포했습니다. 자동화된 VSA 배포 기능을 통해 광범위하게 전파되었습니다. 1,500개 이상의 기업이 감염되고, 60,000대 이상의 시스템이 영향을 받았습니다.

탐지 및 대응 (2021년 7월 2일~7일):
Kaseya는 긴급 패치를 릴리스하고 VSA 인프라를 잠시 중단했습니다. FBI, CISA 등과 협조하여 대응했습니다.

영향 및 교훈

Kaseya 공격은 다음과 같은 영향을 미쳤습니다:
- 직접적 손실: 랜섬웨어 요금 지급 (일부 기업 7만 달러 이상)
- 간접적 손실: 서비스 중단, 데이터 손실, 영업비밀 유출
- 장기적 영향: MSP 공급망 보안에 대한 인식 제고

교훈:
1. 자격증명 보호는 여전히 중요합니다. 자격증명을 안전하게 저장하고 암호화해야 합니다.
2. MSP 플랫폼의 보안은 고객 환경의 보안과 직결됩니다.
3. 자동화된 배포 시스템의 보안을 강화해야 합니다.

3CX 공급망 공격 (2023)

공격 타임라인 및 기술적 분석

1차 공급망 공격 (2022년 말~2023년 3월):
추정: North Korea-linked APT(Lazarus Group)가 3CX의 개발 환경 또는 빌드 시스템을 침투했습니다. 정확한 침투 경로는 밝혀지지 않았으나, 감염된 개발 도구 또는 오픈소스 의존성 조작 가능성이 제기되었습니다.

악성 코드 주입 (2023년 3월):
3CX Desktop App(Windows/macOS)에 악성 코드가 주입되었습니다. 감염된 버전은 v18.12.407, v18.12.416, v18.12.425 등입니다.

2차 공급망 공격 (2023년 3월):
감염된 3CX 클라이언트를 통해 추가 공급망 공격이 수행되었습니다. 감염된 시스템에서 C2 서버와 통신하여 추가 페이로드를 다운로드하고, 감염된 기업의 파트너에 추가 감염을 전파했습니다. 수만 개의 고객 시스템이 감염되었습니다.

탐지 (2023년 3월 29일):
CrowdStrike가 3CX Desktop App의 악성 활동을 탐지했으며, SentinelOne, Mandiant 등의 보안 기업이 협조하여 확인했습니다.

영향 및 교훈

3CX 공급망 공격은 다음과 같은 영향을 미쳤습니다:
- 직접적 손실: 감염된 시스템의 복구 비용
- 간접적 손실: 통화 기록, 고객 정보 유출 우려
- 장기적 영향: 이중 공급망 공격의 위험성 인식

교훈:
1. 이중 공급망 공격의 위험성: 초기 감염 → 2차 공급망 공격
2. 개발 도구의 무결성 검증이 필수적입니다.
3. 신뢰할 수 있는 서비스(GitHub, AWS 등)도 악용될 수 있습니다.

방어 전략

사전 방지 (Prevention)

빌드 시스템 보안 강화

CI/CD 서버 하드닝:
- 최소 권한 원칙 적용: 빌드 시스템에 필요한 최소한의 권한만 부여합니다.
- 불필요한 서비스 및 포트 차단: 공격 표면을 최소화합니다.
- 정기적인 보안 패치: 최신 보안 업데이트를 즉시 적용합니다.

빌드 환경 격리:
- 빌드 전용 가상 환경 사용: 빌드 시스템을 별도의 격리된 환경에서 실행합니다.
- 에피머럴 빌드 환경(Ephemeral Build Environment): 빌드 후 환경을 파괴하여 상태를 유지하지 않습니다.
- 빌드 캐시 분리: 빌드 캐시를 정기적으로 청소하여 오염을 방지합니다.

아티팩트 서명 및 검증:
- 빌드 아티팩트의 코드 서명(Code Signing): 모든 빌드 아티팩트에 디지털 서명을 추가합니다.
- 서명 키의 HSM(Hardware Security Module) 보관: 서명 키를 안전하게 보호합니다.
- 서명 검증 강제 적용: 배포 전 서명을 검증합니다.

의존성 관리 강화

SBOM(Software Bill of Materials) 생성:
- 자동화된 SBOM 생성: Syft, CycloneDX, SPDX 등의 도구를 사용하여 자동으로 SBOM을 생성합니다.
- 의존성의 전이적(transitive) 의존성 포함: 간접 의존성까지 포함하여 완전한 SBOM을 생성합니다.
- SBOM의 버전 관리 및 추적: SBOM의 버전을 관리하고 변경 사항을 추적합니다.

의존성 스캐닝:
- 취약점 스캔: Snyk, Trivy, Grype 등의 도구를 사용하여 취약점을 스캔합니다.
- 라이선스 컴플라이언스 체크: 오픈소스 라이선스의 컴플라이언스를 확인합니다.
- 정기적인 스캔 및 알림: 새로운 취약점 발견 시 즉시 알림을 받습니다.

Lockfile 검증:
- package-lock.json, yarn.lock 등의 무결성 검증: 의존성의 해시를 확인하여 변조를 방지합니다.
- 의존성의 해시 확인: 다운로드한 패키지의 해시를 검증합니다.
- 업데이트 시 변경 사항 검토: 의존성 업데이트 시 변경 사항을 철저히 검토합니다.

업데이트 메커니즘 보안

업데이트 서버 보안:
- HTTPS/TLS 강제 적용: 모든 업데이트 요청을 HTTPS로 강제합니다.
- 인증서 고정(Certificate Pinning): 특정 인증서만 신뢰하도록 설정합니다.
- 업데이트 패키지의 서명 검증: 업데이트 패키지의 디지털 서명을 검증합니다.

업데이트 무결성 검증:
- 패키지 해시 검증(SHA256): 다운로드한 패키지의 해시를 검증합니다.
- 파일 크기 및 수정 날짜 확인: 파일의 메타데이터를 검증합니다.
- 다운로드 소스 검증: 업데이트를 다운로드하는 소스를 신뢰할 수 있는지 확인합니다.

탐지 (Detection)

빌드 파이프라인 모니터링

ETW(Event Tracing for Windows):
- 프로세스 생성/종료 추적: 빌드 시스템의 모든 프로세스 활동을 추적합니다.
- 파일 시스템 감시(FSI - File System Integrity): 빌드 아티팩트의 변경 사항을 모니터링합니다.
- 네트워크 통신 모니터링: 의심스러운 네트워크 연결을 탐지합니다.

EDI(Endpoint Detection and Response):
- 빌드 시스템의 비정상적 활동 탐지: 알려진 악성 패턴을 매칭하여 탐지합니다.
- 행동 기반 탐지(Behavioral Analysis): 비정상적인 행동 패턴을 탐지합니다.
- 실시간 경고 및 대응: 탐지 시 즉시 경고를 발생하고 대응합니다.

CI/CD 로그 및 감사

빌드 로그 수집:
- 모든 빌드 과정의 로그 저장: 빌드 과정의 모든 단계를 로그로 저장합니다.
- 불활성 계정의 빌드 시도 경고: 오랫동안 사용되지 않은 계정의 빌드 시도를 경고합니다.
- 비정상적인 빌드 파라미터 감지: 비정상적인 빌드 옵션이나 파라미터를 탐지합니다.

Pull Request/Commit 검토:
- 코드 리뷰 강제 적용: 모든 Pull Request를 코드 리뷰하도록 강제합니다.
- 커밋 서명 확인: 커밋의 서명을 검증합니다.
- 불활성 개발자의 커밋 경고: 오랫동안 활동하지 않은 개발자의 커밋을 경고합니다.

공급망 위협 인텔리전스

IOC(Indicators of Compromise) 공유:
- 알려진 악성 패키지, 해시, 도메인 공유: 알려진 악성 지표를 공유합니다.
- 보안 커뮤니티와 협조: CISA, NIST, MITRE 등과 협조합니다.
- 자동화된 위협 인텔리전스 피드 구독: 자동으로 IOC를 수신합니다.

대응 및 복구 (Response & Recovery)

사고 대응 절차

사고 탐지 및 확인:
- 감염 여부 검사(IOC 기반): 알려진 IOC를 사용하여 감염 여부를 확인합니다.
- 영향 범위 평가: 감염의 영향 범위를 평가합니다.
- 근본 원인 분석: 공격의 근본 원인을 분석합니다.

격리 및 완화:
- 감염된 시스템 격리: 감염된 시스템을 네트워크에서 격리합니다.
- 취약점 즉시 패치: 취약점을 즉시 패치합니다.
- 탈취된 자격증명 순환(rotate): 탈취된 자격증명을 순환합니다.

복구 및 복귀

시스템 복구:
- 감염 전 상태로 복구(백업 또는 신설): 백업을 사용하여 복구하거나 새 시스템을 구축합니다.
- SBOM을 통한 무결성 확인: SBOM을 사용하여 복구된 시스템의 무결성을 확인합니다.
- 빌드 아티팩트 재빌드 및 검증: 빌드 아티팩트를 재빌드하고 검증합니다.

모니터링 및 검증:
- 재감염 방지를 위한 모니터링 강화: 모니터링을 강화하여 재감염을 방지합니다.
- 정기적인 보안 감사: 정기적으로 보안 감사를 수행합니다.
- 보안 개선 계획 수립: 보안을 개선하기 위한 계획을 수립합니다.

대응 방안

위협 레벨별 대응 우선순위

권고사항

즉시 대응 (0-30일):
1. 핵심 빌드 시스템의 보안 감사 수행
2. CI/CD 자격증명 순환 및 최소 권한 적용
3. 주요 의존성의 SBOM 생성 및 취약점 스캔

단기 대응 (1-3개월):
1. 빌드 아티팩트의 서명 및 검증 프로세스 구축
2. CI/CD 파이프라인의 모니터링 및 감사 도구 도입
3. 공급망 위협 인텔리전스 피드 구독

장기 대응 (3-12개월):
1. 제로 트러스트 네트워크 아키텍처 구현
2. 자동화된 공급망 보안 플랫폼 구축
3. 보안 교육 및 모의 훈련(Supply Chain Attack Simulation)

참고자료

• MITRE ATT&CK: https://attack.mitre.org/techniques/T1195/
• CISA KEV Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• SolarWinds 공격 분석: https://www.fireeye.com/blog/threat-research/2020/12/evasive-actor-uses-software-supply-chain-to-compromise-global-security.html
• Codecov 공격 분석: https://about.codecov.io/security-update/
• Kaseya 공격 분석: https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-174a
• 3CX 공급망 공격 분석: https://www.crowdstrike.com/blog/analyzing-the-3cx-desktop-app-supply-chain-attack/
• SBOM 표준: https://www.ntia.gov/SBOM
• NIST 공급망 위험 관리: https://www.nist.gov/publications/nist-special-publication-800-161-rev-1

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨으면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.