OSS 공격을 피할 수 있을까요?
오픈 소스 공격이 탐지를 회피하는 이유와 이를 차단하는 방법
오픈 소스 소프트웨어 공격은 일정 부분 예방할 수 있지만 방지할 수는 없음
소프트웨어 공급망의 위험은 줄어들 기미가 보이지 않습니다. 2023년에 이러한 공격의 비율은 2019년부터 2022년까지 관찰된 공격의 총합의 두 배에 달했습니다.
공급망 보호가 까다롭기로 악명 높은 구체적인 이유는 무엇일까요? Sonatype 연례 소프트웨어 공급망 현황 보고서에 따르면 공격의 96%는 이미 사용 가능한 패치가 있는 오픈 소스 소프트웨어(OSS)의 취약점으로 인한 것이며, ‘불가피한’ 공격은 4%에 불과한 것으로 나타났습니다. OSS 침해의 여러 가지 결과를 고려할 때, 예를 들면, 인증정보 탈취, 금융 데이터 손실 등의 ‘피할 수 있는’ 공격이 아직도 많이 발생하는 이유는 무엇일까요?
종종 진정한 문제는 가시성, 즉 OSS 패키지를 적절히 보호하고 애초에 어떤 패키지가 취약한지 파악할 수 있는 시스템을 갖추는 것입니다. 이러한 공격이 계속 증가함에 따라 이 광범위한 문제는 그 어느 때보다 중요해지고 있습니다. 자세히 알아보려면 다음 내용을 계속 읽어보세요.
OSS 패키지가 악용에 취약한 이유
조직이 손상된 소프트웨어를 간과하고 스스로를 위험에 빠뜨리는 이유
일반적인 OSS 취약점을 방지하고 공격 가능성을 줄이기 위한 4가지 모범 사례
OSS 공격을 막기 어려운 이유는 무엇일까요?
조직이 OSS 공격에 한발 앞서 대응하는 것은 어려운 일이 될 수 있습니다. 추정에 따르면 2023년까지 다운로드된 오픈 소스 컴포넌트 8개 중 1개에는 공개적으로 알려진 보안 위험이 포함되어 있으며, 같은 해에 탐지된 악성 패키지는 2억 개를 넘는 것으로 예상됩니다.
이러한 공격이 여전히 만연하고 피하기 어려운 데에는 몇 가지 이유가 있습니다.
탐지를 회피하기 위해 설계된 OSS 공격
OSS 공격은 끊임없이 진화하고 있으며 일반적인 보안 조치를 우회하는 경우가 많습니다. 예를 들어, 한 OSS 공격은 사전 설치 스크립트와 직원 사칭 전술을 모두 사용하여 은행을 표적으로 삼고 공격 대상의 시스템에 악성 소프트웨어를 설치했습니다. 그런 다음 공격자는 표적이 된 은행의 이름이 포함된 합법적인 하위 도메인을 사용하여 2단계 페이로드를 전달함으로써 보안 시스템에 탐지되지 않을 가능성을 높였습니다.
공격자는 탐지를 피하기 위해 교묘한 방법을 사용할 뿐만 아니라 격리된 시스템 및 애플리케이션 내의 DevOps 도구, 플랫폼, 오픈 소스 리포지토리 및 소프트웨어 구성 요소의 취약점으로 초점을 전환하고 있습니다. 한 가지 예로 대부분의 OSS 보안 도구는 서버 측 코드에 초점을 맞추기 때문에 클라이언트 측에서 실행되는 오픈 소스 스크립트를 표적으로 합니다. 이 수법의 한 가지 예로, 보안 연구원들은 ‘Facebook으로 로그인’을 사용하는 웹 사이트에 내장된 타사 JavaScript 트래커가 Facebook 로그인 데이터를 수집하는 데 사용될 수 있다는 사실을 발견했습니다.
노후하거나 제대로 유지 관리되지 않는 소프트웨어 패치에 오랜 시간이 소요됨
OSS 공격은 피해자를 속여 악성 패키지를 다운로드하도록 유도하는 것부터 소프트웨어 업데이트를 손상시키는 것까지 다양한 방식으로 이루어질 수 있습니다. 이러한 공격은 몇 주 또는 몇 달 동안 탐지되지 않는 경우가 많기 때문에 가능한 한 빨리 취약점을 패치하는 것이 중요합니다.
그러나 조직 내에서 노후되었거나 유지 관리가 제대로 되지 않는 소프트웨어를 사용하는 경우 중요한 업그레이드를 실행하는 것이 상당히 힘들고 프로세스를 거치는 데 오랜 시간이 소요되므로 손상 및 공격에 대한 취약점이 높아질 수 있습니다.
이 문제는 어떻게 피할 수 있을까요? Sonatype의 2023년 보고서에 따르면, 조직은 위험한 업그레이드를 할 때마다 약 “10개의 탁월한 버전[의 소프트웨어 구성 요소]”에 접근할 수 있습니다.
소프트웨어 업데이트로 인해 이전에 정상적으로 작동하던 패키지가 손상될 수 있음
�더 교묘한 경우에는 공격자가 자동화된 소프트웨어 업데이트를 손상시켜 의심하지 않는 사용자가 의도치 않게 악의적인 행동에 참여하도록 유도할 수 있습니다. 한 공격에서는 AWS 자격 증명을 수집하려고 시도한 Python 및 PHP 패키지의 악성 업데이트가 약 300만 명의 사용자를 표적으로 삼았습니다.
실행에 수개월이나 수년이 걸릴 수 있는 악성 업데이트도 있으며, 8개월 동안 비교적 사용하지 않다가 Ethereum 개인 키 유출을 시도한 휴면 npm 패키지와 같이 특정 소프트웨어 패키지를 이미 검증하고 신뢰한 사용자를 잘못된 보안 인식으로 속이는 경우도 있습니다.
OSS 공격으로부터 보호하기 위한 4가지 전략
OSS 공격의 광범위하고 다면적인 특성을 고려할 때, 조직이 모든 프로그램을 패치하고 모든 소프트웨어 구성 요소를 추적하며 환경의 모든 잠재적 취약점을 나열하는 것은 거의 불가능합니다. 하지만 조직이 가장 큰 위협을 완화하기 위해 취할 수 있는 몇 가지 조치는 다음과 같습니다.
1. "적극적으로 유지 관리되는" 오픈 소스 소프트웨어를 사용합니다.
부실한 검증 관행으로 인해 OSS 위험과 공격에 노출되는 경우가 많습니다. 오픈 소스 소프트웨어 및 프로젝트를 평가할 때 조직은 시간을 들여 최신 소프트웨어 버전을 구현하고 있는지 여부뿐만 아니라 소프트웨어의 취약점을 적극적으로 검토하고 그에 따라 업데이트하고 있는지도 평가해야 합니다.
2. 밝혀진 취약점을 파악하고 패치를 적용합니다.
2023년에 20억 건이 넘는 OSS 다운로드에 취약점이 공개되고 이에 대한 수정이 이루어졌습니다. 공격자가 모든 취약점을 악용할 수 있는 것은 아니지만, 조직은 보안 태세를 강화하기 위해 환경 내의 OSS 패키지를 평가하고 가능한 경우 패치를 적용해야 합니다.
3. 소프트웨어 공급망 내에서 가장 중요한 위험 영역을 파악하고 중요한 업그레이드의 우선순위를 정합니다.
모든 취약점을 패치하는 것은 대부분의 조직에게 비현실적인 목표일 수 있지만, 가장 중요한 위험과 업그레이드의 우선순위를 정하면 가장 큰 피해를 입힐 수 있는 공격을 완화하는 데 도움이 될 수 있습니다.
4. 위험과 피해를 완화하는 Zero Trust 모델을 채택하여 전반적인 보안 태세를 개선하세요.
Zero Trust와 같은 포괄적인 보안 프레임워크는 조직의 공격면을 줄이고 패치되지 않은 OSS 취약점으로 인한 위험을 완화하는 데 도움이 될 수 있습니다. Zero Trust 아키텍처에서는 어떤 엔터티도 본질적으로 신뢰할 수 없으며 리소스에 대한 모든 요청은 ID 및 기타 컨텍스트 신호를 기반으로 확인됩니다. 즉, 공격자가 디바이스나 인프라를 침해하더라도 IT 환경 내에서 내부망에서 이동하거나 권한을 확대하기가 매우 어렵다는 의미입니다. 또한 웹 활동에 대한 ‘기본적으로 신뢰하지 않음’ 접근 방식을 확장함으로써 조직은 인터넷 브라우징을 분리하고 잠재적으로 위험한 온라인 코드로부터 디바이스를 격리할 수 있습니다.
Cloudflare가 OSS 공격을 차단하는 방법
최신 OSS 공격으로부터 보호하려면 조직은 소프트웨어 개발 수명 주기의 모든 단계를 검사하고 보호해야 하며, 채택하는 소프트웨어에 대한 철저한 이해를 바탕으로 이전에 확인된 취약점에 대한 중요한 패치를 먼저 식별한 다음, 가장 높은 위험을 파악하고 그에 따라 업그레이드 우선순위를 정해야 합니다.
Cloudflare는 조직이 소프트웨어 공급망 공격을 비롯한 새롭게 등장하는 최신 위협에 대응하고 전체 IT 환경, 공격 수명 주기, 전 세계 위치에 대한 제어 능력과 가시성을 확보할 수 있도록 설계되었습니다. 특히 조직은 Cloudflare의 통합 지능형 플랫폼을 채택하여 다음과 같은 중요한 영역의 보안을 강화할 수 있습니다.
웹 앱에서 사용하는 오픈 소스 타사 클라이언트 측 스크립트 발견하기
오픈 소스 소프트웨어의 취약점 익스플로잇과 악성 오픈 소스 클라이언트 측 스크립트로부터 웹 앱 보호하기
전체 디지털 포트폴리오에 대한 위협 가시성 및 제어 능력 개선하기
이 글은 오늘날의 기술 의사 결정자에게 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
비즈니스가 운영되는 모든 곳에서 보안 강화 전자책을 다운로드하여 Cloudflare가 소프트웨어 취약점 및 악용으로부터 데이터를 보호를 지원하는 방법을 알아보�세요.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
2023년에는 지난 4년을 합친 것보다 두 배나 많은 공급망 공격이 발생했습니다.
조직이 중대한 OSS 취약점을 놓치는 이유
OSS 리스크를 최소화하는 4가지 팁