카스퍼스키는 2024년 10월 17일, ‘XZ부터 크라우드스트라이크까지-공급망 공격의 영향과 향후 전망’에 관한 연구 결과를 발표했다. 이번 연구는 공급망 공격이 세계 경제에 미치는 막대한 영향을 분석하며, 관련 주요 사건들을 통해 향후 보안 방안과 전망을 제시했다. 크라우드스트라이크(Crowdstrike)와 XZ Utils의 공격 사례를 중심으로 공급망의 취약성과 그로 인한 위험성을 상세히 다루었다.
■공급망 공격의 위협성: 크라우드스트라이크 사건 분석
2024년 7월 19일, 미국 사이버 보안 회사 크라우드스트라이크의 소프트웨어 업데이트 오류로 인해 전 세계 850만 대의 윈도 컴퓨터가 멈추는 사고가 발생했다. 윈도 운영체제의 커널 접근 권한을 가진 크라우드스트라이크는 팔콘(Falcon) 플랫폼의 보호 메커니즘에 대한 정기 업데이트를 진행했으나, 이번 업데이트는 전 세계 주요 인프라와 시스템에 재부팅 문제를 초래했다.
이 사건으로 인해 병원, 은행, 항공사 등 주요 인프라와 더불어 미국 정부 기관인 NASA, FTC, NNSA 등에서도 업무 중단 사태가 발생했다. 크라우드스트라이크를 통해 보호되던 미국 911 콜센터, 필리핀 정부 웹사이트 등도 큰 피해를 입었다. 이번 사고는 사이버 공격이 아닌 단순한 업데이트 오류로 발생했으나, 공급망 공격이 일으킬 수 있는 막대한 파급력을 다시금 확인시켜준 사례로 평가된다.
■Linux XZ Utils: 오픈소스 프로젝트의 취약점
또한, 카스퍼스키는 2024년 초 Linux XZ Utils 프로젝트에 발생한 공급망 공격 사례도 연구했다. XZ Utils는 무료 데이터 압축 명령줄 도구로 널리 사용되고 있으며, 이번 공격으로 SSH 프로토콜을 악용한 고도화된 백도어 프로그램이 삽입된 것이 밝혀졌다.
이 공격은 기업 서버, IoT 장치 등 다양한 시스템에서 사용되는 SSH 종속성을 악용해 무단 접근을 가능하게 했다. 공격자는 프로젝트 팀 내부에서 신뢰를 쌓고 유지관리 권한을 획득해 악성 코드를 삽입했으며, 이는 오픈소스 프로젝트의 공급망 공격 취약성을 드러낸 사례로 꼽히고 있다.
■AI와 공급망 공격의 결합: 새로운 위협의 등장
카스퍼스키는 AI 기술이 통합된 미래 사회에서 공급망 공격이 더욱 위험해질 수 있다고 경고했다. 특히 AI 학습 모델에 편향성을 주입하거나 트레이닝 데이터를 변조해 잘못된 결과를 도출하는 방식으로 AI 시스템에 대한 공급망 공격이 발생할 수 있다. 이러한 공격은 탐지가 어려워 장기간 동안 악성 활동을 은닉할 수 있다.
또한, 대형 언어 모델(LLM)을 악용해 스피어 피싱 공격이나 딥페이크 사기 행위가 발생할 가능성도 지적했다. 카스퍼스키는 AI 기반 사이버 보안에 대한 연구와 솔루션을 강화하며, 향후 발생할 수 있는 AI 관련 공급망 공격의 잠재적 경로를 차단하는 데 주력하고 있다.
카스퍼스키는 이러한 위협을 해결하기 위해 조직이 취해야 할 완화 전략을 제시했다. 주요 전략으로는 소프트웨어 배포 전 엄격한 테스트 실시, 도구의 무결성 확보, 변경 사항의 추적 및 모니터링, 디지털 서명 적용 등이 포함된다. 카스퍼스키 글로벌 위협 정보 분석 팀(GReAT) 사이버 보안 전문가는 “조직은 공급망 공격 발생 시 피해를 최소화할 수 있는 다양한 완화 전략을 적용해야 한다”고 강조했다.
카스퍼스키는 1997년에 설립된 글로벌 사이버 보안 및 디지털 개인정보보안 전문 회사로, 10억 개 이상의 기기를 최신 사이버 위협과 표적형 공격으로부터 보호하고 있다. 카스퍼스키는 심층적인 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 솔루션과 서비스를 제공한다. 주요 제품으로는 엔드포인트 보호 솔루션, 사이버 면역 솔루션 등이 있으며, 22만이 넘는 기업 고객이 카스퍼스키의 보안 포트폴리오를 통해 자산을 보호하고 있다.
◆2024 인공지능 보안 컨퍼런스 AIS 2024 개최(보안교육 7시간 이수)◆
-인공지능 기반 보안기술과 보안위협 대응 정보 공유-
-공공, 금융, 기업 정보보호 담당자 700여명 참석예정-
-일 시: 2024년 11월 5일(화) 09:00~17:00
-장 소: 더케이호텔서울 2층 가야금홀
-주 최: 데일리시큐
-참석대상: 정부, 공공, 금융, 기업 정보보호 담당자만 참석 가능(보안과 관련없는 자는 참석 불가)
-참가기업 모집: 국내외 인공지능, 보안자동화 기반 보안전문기업
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-참석자 사전등록: 클릭
(사전등록 필수, IT보안 관계자만 참석가능)
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[치과신문 편집인 칼럼] 탈의실과 수술실 모두 다 찍힌다](https://www.dentalnews.or.kr/data/photos/20241042/art_17291230313693_2ff974.png)
