소프트웨어 공급망의 위험은 줄어들 기미가 보이지 않습니다. 2023년에 이러한 공격의 비율은 2019년부터 2022년까지 관찰된 공격의 총합의 두 배에 달했습니다.
공급망 보호가 까다롭기로 악명 높은 구체적인 이유는 무엇일까요? Sonatype 연례 소프트웨어 공급망 현황 보고서에 따르면 공격의 96%는 이미 사용 가능한 패치가 있는 오픈 소스 소프트웨어(OSS)의 취약점으로 인한 것이며, ‘불가피한’ 공격은 4%에 불과한 것으로 나타났습니다. OSS 침해의 여러 가지 결과를 고려할 때, 예를 들면, 인증정보 탈취, 금융 데이터 손실 등의 ‘피할 수 있는’ 공격이 아직도 많이 발생하는 이유는 무엇일까요?
종종 진정한 문제는 가시성, 즉 OSS 패키지를 적절히 보호하고 애초에 어떤 패키지가 취약한지 파악할 수 있는 시스템을 갖추는 것입니다. 이러한 공격이 계속 증가함에 따라 이 광범위한 문제는 그 어느 때보다 중요해지고 있습니다. 자세히 알아보려면 다음 내용을 계속 읽어보세요.
OSS 패키지가 악용에 취약한 이유
조직이 손상된 소프트웨어를 간과하고 스스로를 위험에 빠뜨리는 이유
일반적인 OSS 취약점을 방지하고 공격 가능성을 줄이기 위한 4가지 모범 사례
조직이 OSS 공격에 한발 앞서 대응하는 것은 어려운 일이 될 수 있습니다. 추정에 따르면 2023년까지 다운로드된 오픈 소스 컴포넌트 8개 중 1개에는 공개적으로 알려진 보안 위험이 포함되어 있으며, 같은 해에 탐지된 악성 패키지는 2억 개를 넘는 것으로 예상됩니다.
이러한 공격이 여전히 만연하고 피하기 어려운 데에는 몇 가지 이유가 있습니다.
OSS 공격은 끊임없이 진화하고 있으며 일반적인 보안 조치를 우회하는 경우가 많습니다. 예를 들어, 한 OSS 공격은 사전 설치 스크립트와 직원 사칭 전술을 모두 사용하여 은행을 표적으로 삼고 공격 대상의 시스템에 악성 소프트웨어를 설치했습니다. 그런 다음 공격자는 표적이 된 은행의 이름이 포함된 합법적인 하위 도메인을 사용하여 2단계 페이로드를 전달함으로써 보안 시스템에 탐지되지 않을 가능성을 높였습니다.
공격자는 탐지를 피하기 위해 교묘한 방법을 사용할 뿐만 아니라 격리된 시스템 및 애플리케이션 내의 DevOps 도구, 플랫폼, 오픈 소스 리포지토리 및 소프트웨어 구성 요소의 취약점으로 초점을 전환하고 있습니다. 한 가지 예로 대부분의 OSS 보안 도구는 서버 측 코드에 초점을 맞추기 때문에 클라이언트 측에서 실행되는 오픈 소스 스크립트를 표적으로 합니다. 이 수법의 한 가지 예로, 보안 연구원들은 ‘Facebook으로 로그인’을 사용하는 웹 사이트에 내장된 타사 JavaScript 트래커가 Facebook 로그인 데이터를 수집하는 데 사용될 수 있다는 사실을 발견했습니다.
OSS 공격은 피해자를 속여 악성 패키지를 다운로드하도록 유도하는 것부터 소프트웨어 업데이트를 손상시키는 것까지 다양한 방식으로 이루어질 수 있습니다. 이러한 공격은 몇 주 또는 몇 달 동안 탐지되지 않는 경우가 많기 때문에 가능한 한 빨리 취약점을 패치하는 것이 중요합니다.
그러나 조직 내에서 노후되었거나 유지 관리가 제대로 되지 않는 소프트웨어를 사용하는 경우 중요한 업그레이드를 실행하는 것이 상당히 힘들고 프로세스를 거치는 데 오랜 시간이 소요되므로 손상 및 공격에 대한 취약점이 높아질 수 있습니다.
이 문제는 어떻게 피할 수 있을까요? Sonatype의 2023년 보고서에 따르면, 조직은 위험한 업그레이드를 할 때마다 약 “10개의 탁월한 버전[의 소프트웨어 구성 요소]”에 접근할 수 있습니다.