최근 미국 정부는 모든 연방 정부기관에서 러시아 보안 기업 카스퍼스키랩이 개발한 안티바이러스 솔루션을 퇴출한다고 밝혔다. 미국은 카스퍼스키랩 제품이 러시아 해커가 미국 정보기관을 해킹한 통로였다고 분석했다. 뉴욕타임스는 이스라엘 해커가 미국 정보기관을 해킹하려던 러시아 해커를 지켜봤다고 보도했다. 이스라엘 정부 지원 해커는 러시아 해커가 카스퍼스키랩 백신을 활용, 미국 정보기관의 기밀 정보를 훔치는 것을 2년 전부터 지켜봤다. 이스라엘 해커는 카스퍼스키랩 컴퓨터망을 해킹해서 러시아 해커 활동을 실시간 추적한 것으로 알려졌다. 이스라엘은 러시아 해커가 국가안보국(NSA) 등에서 기밀을 빼낸 사실을 알아챘고, 이를 미국에 알렸다. 미국 정부는 이 첩보를 토대로 연방 정부기관에서 카스퍼스키랩 사용을 중단하라고 지시했다. 미국 정보기관에서 자료를 빼내는 통로로 백신 제작사를 공격한 공급망 해킹 전형 사례다. 지난해 발생한 국방부 해킹 사고 역시 공급망 해킹이다.
◇은밀히 파고드는 공급망 해킹
공급망 해킹은 표적을 직접 공격하기에 앞서 제3의 공급자를 노린다. 해커는 표적 기관이 사용하는 각종 소프트웨어(SW)를 비롯해 전자기기를 개발, 생산, 유통하는 단계에 침투한다. 표적 기관의 높은 보안 시스템을 뚫는 것보다 공급망에 위치한 약점을 파고든다.
레노버와 화웨이 등 중국 기업에서 생산한 전자제품에 악성 백도어 프로그램이 들어 있는 형태도 여기에 해당한다. 국가가 지원하는 해킹 조직부터 사이버 범죄자까지 공급망 해킹은 만연하다.
해커는 표적 기관이 주로 사용하는 SW 개발사를 해킹한다. SW 개발 과정에 침투, 악성코드를 심는다. 표적 기관이 해당 SW를 업데이트하면 악성코드에 자동 감염된다. 표적 기관의 높은 사이버 보안 시스템을 무력화시키는 방법이다.
'SCM 세계 공급망 미래 리포트'에 따르면 최대 공급망 위협은 사이버 공격이다. 공급망 운영자들은 지진과 홍수 등 자연 재해로 인해 제조 시설이 타격을 받거나 전쟁, 테러 등 문제보다 사이버 공격을 더 큰 위협으로 인식했다. 2016년 사이버 공격 위협을 걱정하던 비중은 30%에서 올해 44%까지 상승했다.
10년 전 공급망 관리의 최대 위협은 부품 부족과 가격 상승이 이유였다. 현재는 공급망 해킹이 최대 문제다. 국가 간 사이버 전쟁부터 사이버 범죄까지 공급망 공격이 일상화된 탓이다.
공급망 자체가 해커에 노출되면 공격을 막아내기 어렵다. 전자부품에 들어가는 임베디드 SW는 개발부터 유통이 복잡해 공격에 쉽게 노출된다. 보안이 소홀한 SW 개발사도 해커의 타깃이다.
공급망의 보안 필요성은 걸프전에서 나타났다. 미국은 이라크에 수출하는 프린터에 국가안보국(NSA)이 개발한 악성코드를 숨겼다. 이후 1991년 걸프전 당시 해당 악성코드를 실행시켜 이라크 지휘 통신망을 파괴한 것으로 알려졌다.
요시 오렌 이스라엘 벤구리온대 연구원은 “스마트폰 액정이 깨져서 교환할 때나 충전기, 배터리, 센서 등을 새 부품으로 교체할 때도 주의해야 한다”면서 “초기 공급망은 물론 애프터마켓 공급망에서도 악성코드가 포함된 부품으로 바꿔치기 할 수 있다”고 설명했다. 이렇게 사용자가 모르는 사이에 새로 교체한 부품 속에 들어 있는 악성코드가 스마트폰 내 모든 정보를 유출할 수 있다. 주요 기관 요인에 발생할 경우 국가 기밀이 유출될 수 있다.
◇최근 공급망 해킹 잇따라
공급망 해킹 사건은 계속 발견된다. 국내에서 북한 소행으로 알려진 상당수 해킹 사건은 공급망 해킹이 발단이다. 백신, 자산관리솔루션, PC보안솔루션, 디지털저작권관리(DRM) 등이 PC에 설치돼 중앙에서 관리되는 솔루션이 주로 해킹됐다.
카스퍼스키랩은 최근 세계 수백개 대기업이 사용하는 넷사랑 서버 관리 SW에 백도어가 설치된 것을 발견했다. 공격자는 백도어를 이용해 추가 악성코드를 내려 보내거나 데이터를 훔친다.
넷사랑 서버 관리 SW는 금융, 교육, 통신, 제조, 에너지, 교통 등 다양한 고객이 사용하고 있다. 조사 결과 해당 SW 최신 버전 내부에 악성 모듈이 숨겨져 있었다. 감염된 SW 업데이트가 설치된 후 악성 모듈이 명령&제어(C&C) 서버 특정 도메인으로 8시간에 한 번씩 감염된 시스템 정보를 보냈다. 해커 지시에 따라 백도어 플랫폼이 악성코드를 추가로 다운로드할 수 있었다. 랜섬웨어 등을 내려 보냈다면 세계 서버에 저장된 내용이 암호화되는 대형 사건이 될 가능성이 짙다.
시스코 탈로스 인텔리전스도 유명 PC 최적화 유틸리티 프로그램 C클리너 해킹을 발견했다. C클리너는 어베스트가 인수한 프로그램으로, 20억회 이상 다운로드 됐다. PC 시스템을 정리해 성능을 최적화한다. 공격자는 어베스트가 사용하던 다운로드 서버를 해킹, 진짜 C클리너 프로그램을 악성 버전으로 바꿔치기했다. 한 달여 만에 수백만명의 사용자가 악성 버전을 내려 받았다.
시스코 탈로스 분석 결과 C클리너는 특정 정보통신기술(ICT) 기업 도메인으로 접속할 때 2차 공격 코드를 내려 보내는 기능도 있다. 삼성전자, 시스코, 소니, VM웨어, HTC그룹, 인텔, 링크시스, 엡슨, HP, 디링크 등 20여개 글로벌 ICT 기업 도메인에 접속할 때를 노린다.
해커는 수백만명을 악성 C클리너에 감염시킨 후 2차 공격을 시도했다. 특정 조건이 만족됐을 때 은밀하게 공격하는 수법으로 추적과 분석을 피했다.
시스코는 분석 블로그에 “최근 연이어 SW 개발사를 노린 공급망 공격 속도가 빨라지고, 복잡성이 증가했다”면서 “특정 대상의 네트워크와 PC를 감염시키려고 공급망을 공격한다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com
