Software Supply Chain Attack

소프트웨어 공급망(Software Supply Chain)

- 소프트웨어 개발되어 최종 사용자에게 전달되기까지의 전체 과정

- 개발자가 코드를 작성하는 때부터 해당 코드가 제품으로 생상된 후 사용자 시스템에서 실행되는 때까지 일어나는 모든 일

- 소프트웨어가 개발되어 최종 사용자에게 전달되기 까지의 전체 과정

- 소프트웨어 복잡도 증가로 인해 서드 파티 라이브러리와 컴포넌트 사용

- 외부 모듈들이 사용하고 있는 모듈에 대한 파악이 어려움

- 하나의 소프트웨어 모듈 취약점이 전체 시스템에 영향

- 개발부터 배포까지 각 단계가 공격 대상.. 공격 표면 확대

 

소프트웨어 제작 환경 변화

- 초연결 사회

- SW 부품 공급의 분업화

- 공개 SW 사용의 확대

 

공격 절차 예시

공격자의 패키지 인식

-> 패키지에 침투 -> 패키지에 악성코드 주입 -> 개발자가 다운로드

-> 빌드 프로세스에 들어가서 -> 빌드되면 악성 코드 실행 -> 공격자가 개발자나 제작 환경에 접근 가능

-> 데이터 유출 등

 

 

개발(개발자, 소스코드 관리 서버)

-> 변환[Build](패키지/라이브러리(OSS, 서브파티), 실행 파일)

-> 배포(리포지토리 업데이트 서버)

-> 운영 시스템

 

 

소프트웨어 공급망 공격 유형

공개 소프트웨어(OSS) 보안 취약점

- 공개 SW에 취약한 코드 또는 유해한 구성요소 포함 시 악용

- Log4Shell, ActiveMQ

 

타사 의존성(서드파티)

- 공격자가 타사 SW에 악성코드 삽입

- XZ Utils에 백도어 기능 삽입, 배포

 

공용 레포지토리

- 공개 SW 코드를 찾는 개발자를 목표로, 깃허브 등 레퍼지토리에 합법 SW와 유사한 이름을 가진 악성코드를 업로드

- 도커 허브에 악성코드가 삽입된 컨테이너 이미지를 업로드

- 파이썬 공개 패키지 저장소에 유명 프로젝트를 위장한 악성 패키지 업로드

 

변환 시스템

- CI/CD 중요 코드, 레포지토리, 컨테이너 및 변환 서버를 침해하여 악성 코드로 교체하여 악용

- 3CX DesktopApp, 국내 VPN 홈페이지 악성코드 유포

 

업데이트 가로채기

- 공격자가 SW 업데이트 과정을 침해, 업데이트 서버의 관리 권한을 가로채어 악성 코드 삽입

 

내부 리포지토리

- 공격자가 기업 내부 코드 저장소에 침입하여 악성 코드 삽입

- ERP 솔루션인 K-System 업데이트 모듈, 악성코드 다운로드 루틴 삽입 사례

 

공급사 및 협력사

- 외부 서비스를 제공받는 경우 관리되지 않는 타사 위험이 내부 시스템으로 전이