북한발 'SW 공급망 공격' 부각…"SBOM 시범 사업 추진"

[아이뉴스24 김혜경 기자] 최근 북한 연계 해킹조직이 기업용 소프트웨어(SW) 취약점을 악용해 공격을 시도한 사실이 알려지면서 공급망 보안 문제가 부각되고 있다.

공급망 공격이 디지털 인프라를 흔드는 위협으로 부상하면서 미국 정부는 '소프트웨어 자재명세서(SBOM)' 제출을 의무화하는 등 대응에 나선 상황이다. 국내에서도 표준화 논의가 진행되고 있는 가운데 올해 실증 사업이 본격 추진될 것으로 보인다.

◆3CX 겨냥해 우회 침투…민간 'SW 자재명세서' 시범 도입

9일 보안업계에 따르면 '제로 트러스트(Zero-Trust)‧공급망 보안 포럼'은 올해 기업 3곳을 대상으로 SBOM 도입 시범 사업을 실시할 예정이다. 지난달에는 제로 트러스트 보안 모델 관련 실증 사업을 발표한 바 있다.

지난해 10월 출범한 포럼은 제로 트러스트 분과 2개와 공급망 보안 분과 2개로 구성됐다. 과학기술정보통신부는 포럼을 통해 보안 규제의 국가 표준화를 추진한다는 계획이다.

SW 공급망이란 SW의 설계‧개발‧배포‧유지보수 전 과정에서 관여된 자원과 정보, 사람, 조직 등의 네트워크를 뜻한다. SW 개발과 빌드, 배포에 사용된 모든 컴포넌트와 라이브러리, 절차, 개발 도구 등이 포함된다. 공급망 공격은 수명 주기 전 단계에서 사이버 공격, 내부 위협 등을 통해 악성코드화 혹은 오작동을 일으키는 모든 행위다.

미국 보안기업 맨디언트 등은 최근 '3CX'라는 데스크톱 애플리케이션(앱)을 통해 멀웨어(악성 소프트웨어)가 확산되는 현상을 포착했다. 3CX는 인터넷전화(VoIP) 솔루션 제공업체로 채팅과 영상·음성 통화 기능 등을 지원한다. 전 세계 190개국 60만곳이 고객사로 등록돼 있으며 일일 사용자는 1천200만명이 넘는다.

복수의 미국 보안기업들은 북한을 이번 공격 배후로 지목했다. 지난달 말 윈도우와 맥 운영체제(OS)용 데스크톱 앱에서 악성코드가 발견된 데 이어 3CX 공급망 침해 조사 과정에서 또 다른 SW가 악용된 것으로 나타났다.

맨디언트는 공격 주체를 'UNC4736'으로 보고 있다. ESET 등 일부 보안기업은 북한 정찰총국 산하 해킹조직인 '라자루스'를 지목하기도 했다. 안랩에 따르면 이번 공급망 공격이 알려지기 전 국내 한 대학에서도 3CX 취약점을 악용한 공격 시도가 포착된 바 있다.

◆기업 약 70% 공급망 침해…"SBOM으로 신속 대응"

프루프포인트에 따르면 지난해 전 세계 기업 가운데 69%가 공급망 침해를 겪은 것으로 나타났다. SW 이용자가 많을수록 파급력은 커질 수밖에 없고 대규모 인프라 침투 가능성도 높아진다. 2020년 6월 '골든스파이(GoldenSpy)' 사건의 경우 한 중국은행이 중국에 진출한 서방 기업들에게 설치를 요구한 세금 관련 SW에 백도어가 설치됐다.

공급망 보안 강화 대책으로 대두된 것이 SBOM이다. SW 패키지, 구성요소 등을 식별 가능한 형식으로 파악할 수 있도록 만든 명세서다. SW 구성 소스코드의 체계적 관리가 가능하므로 취약점 관련 보안 사고 발생 시 신속한 조치가 가능하다는 장점이 있다.

미국은 2021년 5월 SW 공급망 강화를 위해 '국가 사이버보안 개선에 관한 행정명령(EO 14028)'을 공표했고 지난해 9월에는 각 부처·기관을 대상으로 SW 개발 관련 공급망 보안 강화 지침을 내린 바 있다. 크리티컬(Critical) SW와 SBOM, 최소 검증 표준 보안 SW 개발 프레임워크, 공급망 리스크 관리 등 4개 부문으로 구분된다.

염흥열 순천향대 정보보호학과 교수는 "SBOM은 SW 취약점을 식별하고 신속하게 대응할 수 있는 하나의 기술적 수단"이라며 "시범 도입 후 의무화 여부를 결정하는 등 단계적 추진이 필요하다"고 말했다. 이어 "현재 포럼에서 표준화 논의가 이뤄지고 있는 상황"이라며 "중요도에 따라 SW를 분류하는 등 종합 계획을 수립해야 한다"고 덧붙였다.

김혜경 기자의 다른 기사 보기

• 높아지는 오픈소스 SW 의존도…"제2의 로그4j 막자"

• 美 정부·산업계, 오픈소스 SW 공급망 보안 강화 '잰걸음'