JD Tech Now

2023년 6월, 사이버 범죄 조직인 클롭(Clop) 랜섬웨어 그룹은 MOVEit 파일 전송 소프트웨어의 취약점을 악용하여 다수의 기업과 기관을 공격했습니다.

이들은 SQL 인젝션을 통해 악성 파일을 업로드하고, 이를 실행하여 데이터를 암호화하거나 탈취했습니다.

이러한 공격에 대응하기 위해서는 소프트웨어의 최신 보안 패치 적용, 웹 애플리케이션 방화벽 도입, 파일 업로드 제한 및 검사, 로그 모니터링, 네트워크 세그멘테이션 등의 기술적 방안이 필요합니다.

클롭(Clop) 랜섬웨어 그룹은 2019년부터 활동을 시작한 사이버 범죄 조직으로, 주로 대규모 기업과 기관을 대상으로 랜섬웨어 공격을 수행해 왔습니다. 이들은 단순한 데이터 암호화에 그치지 않고, 탈취한 데이터를 공개하겠다고 협박하여 피해자에게 이중의 압박을 가하는 것으로 알려져 있습니다.

이번 공격에서 클롭 그룹은 MOVEit 파일 전송 소프트웨어의 SQL 인젝션 취약점을 악용했습니다.

SQL 인젝션은 웹 애플리케이션의 입력값을 통해 악의적인 SQL 코드를 주입함으로써 데이터베이스를 조작하거나 민감한 정보를 탈취하는 공격 기법입니다.​

공격 과정은 다음과 같습니다:​

1. 취약점 탐색: 클롭 그룹은 MOVEit 소프트웨어의 특정 버전에 존재하는 SQL 인젝션 취약점을 식별했습니다.​
2. 악성 파일 업로드: 이 취약점을 통해 human2.aspx라는 이름의 악성 ASPX 파일을 서버에 업로드했습니다. 이 파일은 원격에서 공격자가 명령을 실행할 수 있도록 설계되었습니다.​
3. 원격 코드 실행: 업로드된 악성 파일을 통해 서버에서 명령을 실행하여 데이터를 암호화하거나 탈취했습니다.

이 공격으로 인해 다수의 기업과 기관이 데이터 유출 및 서비스 중단과 같은 심각한 피해를 입었습니다.

특히, 민감한 정보가 외부로 유출되어 기업의 신뢰도 하락과 금전적 손실을 초래했습니다.

공격이 발생한 후, 피해 기업들은 다음과 같은 대응 조치를 취했습니다:​

1. 긴급 패치 적용: MOVEit 소프트웨어의 제조사는 즉각적으로 취약점을 수정한 보안 패치를 배포하였으며, 기업들은 이를 신속하게 적용했습니다.​
2. 시스템 점검 및 복구: 침해된 시스템을 격리하고, 백업 데이터를 활용하여 시스템을 복구했습니다.​
3. 보안 강화: 향후 유사한 공격을 방지하기 위해 웹 애플리케이션 방화벽을 도입하고, 파일 업로드에 대한 보안 정책을 강화했습니다.

예방을 위한 기술적 방안:

이러한 공격을 예방하기 위해서는 다음과 같은 기술적 조치가 필요합니다:​

1. 정기적인 보안 패치 적용: 소프트웨어와 시스템의 최신 보안 패치를 주기적으로 적용하여 알려진 취약점을 제거해야 합니다.​
2. 웹 애플리케이션 방화벽(WAF) 도입: SQL 인젝션과 같은 웹 공격을 탐지하고 차단할 수 있는 WAF를 구축하여 공격을 사전에 방지해야 합니다.​
3. 파일 업로드 보안 강화: 서버에 업로드되는 파일의 유형과 크기를 제한하고, 업로드된 파일에 대한 정밀 검사를 수행하여 악성 파일의 실행을 방지해야 합니다.​
4. 실시간 로그 모니터링: 서버 로그를 실시간으로 모니터링하고, 비정상적인 접근이나 파일 업로드 시도를 탐지하여 신속하게 대응할 수 있도록 해야 합니다.​
5. 네트워크 세그멘테이션: 중요 시스템과 일반 시스템을 분리하여 공격 발생 시 피해 범위를 최소화해야 합니다.

바이든 행정부는 최근 발표한 사이버보안 행정명령을 통해 미국 정부에 제품과 서비스를 판매하는 회사들에게 강화된 보안 요구 사항을 부과하고 있습니다.

이 명령은 특히 개발 프로세스의 보안을 입증할 것을 요구하며, 이를 통해 연방 정부는 보다 안전한 디지털 환경을 구축하고자 합니다.

미국 사이버 트러스트 마크(US Cyber Trust Mark) 프로그램의 도입은 이러한 목표를 달성하기 위한 주요 조치 중 하나입니다.

이 프로그램을 통해 기업들은 공인된 실험실에서 규정 준수 테스트를 거쳐 미국 국가표준기술원(NIST)의 사이버보안 기준에 따라 제품을 테스트하고, 성공적으로 인증을 획득한 제품에는 사이버 트러스트 마크 라벨을 부착할 수 있습니다.

이 라벨은 소비자들이 제품의 사이버보안 수준을 쉽게 확인할 수 있게 해, 신뢰성 있는 선택을 가능하게 합니다.

2027년부터는 미국 정부가 인터넷이 연결된 모든 기기를 구매할 때, 이 사이버 트러스트 마크 라벨이 부착된 제품만을 구매할 수 있도록 이 명령은 규정하고 있습니다.

이는 사이버보안을 중시하는 정부의 의지를 반영하는 동시에, 기업들에게 보다 엄격한 보안 표준을 준수하도록 독려하는 조치입니다.

이번 행정 명령은 또한 최근 몇 년 간 연방 기관과 기업들이 경험한 사이버 공격의 증가에 따른 대응으로, 특히 랜섬웨어 공격과 같은 중대한 사이버 위협에 대처하기 위한 것입니다.

예를 들어, Change Healthcare, Colonial Pipeline 운영사 및 Ascension 건강관리 시스템은 최근 랜섬웨어 공격의 피해자가 되었습니다.

또한, 마이크로소프트는 2023년에 중국 해커들이 미국 정부 공무원의 이메일 계정을 침해한 사건을 보고한 바 있습니다. 이러한 사건들은 정부와 기업들로 하여금 보안 강화의 필요성을 절실히 느끼게 했습니다.

그러나 차기 트럼프 행정부에서 이 행정 명령을 계속 유지할지는 아직 확실치 않습니다.

바이든 행정부의 사이버보안 관리자들은 트럼프 행정부의 후임자들과 아직 만날 계획을 세우지 않았으며, 이에 대한 논의는 새로운 팀이 구성되는 대로 진행될 것으로 보입니다.

미국 정부는 최근 발표한 사이버 보안 행정 명령을 통해 국가의 사이버 방어를 강화하고 혁신을 촉진하기 위한 새로운 조치를 도입했습니다. 이 행정 명령은 중대한 사이버 위협에 대응하고, 연방 정부와 민간 부문에서 사용되는 소프트웨어의 안전성을 강화하는 데 중점을 두고 있습니다.

특히, 중국과 같은 적대 국가로부터의 지속적인 사이버 위협에 맞서기 위한 조치들이 포함되어 있습니다.

주요 내용은 다음과 같습니다:

1. 사이버 보안 혁신 촉진: 미국은 소프트웨어 공급업체들이 안전한 소프트웨어 개발 관행을 증명하도록 요구하며, 이를 검증하여 민간 부문의 안전한 소프트웨어 선택을 지원할 계획입니다.
2. 사이버 보안 위협 대응 강화: 국가표준기술원(NIST)은 안전하고 신뢰할 수 있는 소프트웨어 업데이트 방법에 대한 지침을 개발할 예정입니다.
3. AI 기반 사이버 보안 도구 연구: 연방 정부는 AI를 활용하여 소프트웨어 취약성을 검색하고 위협을 탐지하는 등의 사이버 방어 도구 개발에 착수할 예정입니다.
4. 최소 사이버 보안 기준 설정: 연방 정부와 협력하는 기업들에 대한 최소 사이버 보안 기준을 설정하여, 사이버 위협에 대한 방어력을 강화합니다.

이 행정 명령은 또한 최근 Salt Typhoon과 Beyond Trust 사건을 포함한 일련의 사이버 공격에 대한 대응으로 제정되었습니다.

이 조치들을 통해 미국은 자국의 사이버 보안을 강화하고, 민간 부문과의 협력을 통해 보다 안전한 디지털 환경을 조성하려 합니다.

SW 공급망보안 가이드라인 1.0은 기업들이 공급망 보안을 강화하기 위해

지켜야 할 주요 원칙과 실천 사항을 제시합니다.

이 가이드라인을 통해 기업들은 자신들의 공급망을 보다 안전하게 보호하고, 

잠재적인 위협으로부터 방어할 수 있습니다. 

이 문서에서는 가이드라인의 주요 내용을 세밀하게 해설하고, 

기업들이 각 원칙을 어떻게 적용해야 하는지 알아보겠습니다.

1. SW 공급망 보안 관리 체계 구축

1. 보안 정책 수립
    * 정책 작성: 조직의 보안 목표와 원칙을 정의한 보안 정책을 작성합니다.
    * 승인: 최고 경영진의 승인을 받아 정책을 공식화합니다.
    * 배포: 모든 직원에게 정책을 공유하고 이해시킵니다.
2. 조직 구성
    * 보안 책임자 지정: 보안 담당 부서와 책임자를 명확히 지정합니다.
    * 역할 및 책임 정의: 각 부서의 역할과 책임을 문서화하여 명확히 합니다.
3. 교육 및 훈련
    * 교육 프로그램 개발: SW 공급망 보안에 대한 교육 프로그램을 개발합니다.
    * 정기 교육 실시: 모든 직원에게 정기적으로 교육을 실시하고 훈련을 제공합니다.

2. SBOM (소프트웨어 자재명세서) 관리

1. SBOM 생성 및 유지
    * SBOM 생성: 소프트웨어 개발 시 각 구성 요소의 SBOM을 생성합니다.
    * 업데이트: 소프트웨어 변경 시 SBOM을 업데이트하여 최신 상태를 유지합니다.
2. 보안 점검
    * 정기 점검: SBOM을 활용하여 정기적으로 소프트웨어의 보안 취약점을 점검합니다.
    * 취약점 대응: 발견된 보안 취약점에 대해 즉각적인 조치를 취합니다.
3. 자동화 도구 사용
    * 도구 도입: SBOM 생성 및 관리를 자동화할 수 있는 도구를 도입합니다.
    * 자동화 설정: 자동화 도구의 설정을 최적화하여 효율성을 높입니다.

3. 공급업체 보안 관리

1. 평가 기준 수립
    * 기준 정의: 공급업체의 보안 수준을 평가하기 위한 명확한 기준을 설정합니다.
    * 문서화: 평가 기준을 문서화하여 공급업체와 공유합니다.
2. 정기 평가
    * 평가 실시: 정기적으로 공급업체의 보안 상태를 평가합니다.
    * 결과 분석: 평가 결과를 분석하고 개선이 필요한 부분을 식별합니다.
3. 계약서 보안 조항
    * 보안 요구사항 포함: 공급업체와의 계약서에 보안 요구사항을 명시합니다.
    * 준수 확인: 계약 이행 과정에서 보안 요구사항의 준수 여부를 확인합니다.

4. 정보 공유 및 협력

1. 정보 공유 체계 구축
    * 내부 체계 마련: 내부적으로 보안 정보를 공유할 수 있는 체계를 마련합니다.
    * 정보 보호: 공유되는 정보의 기밀성을 유지하기 위한 보호 조치를 실시합니다.
2. 외부 협력 강화
    * 협력 관계 구축: 정부, 산업 협회, 관련 기관과 협력 관계를 구축합니다.
    * 정보 교류: 최신 보안 정보를 주기적으로 교류합니다.
3. 신뢰 기반 정보 공유
    * 신뢰 구축: 공급망 참여자 간 신뢰를 구축하여 안전하게 정보를 공유할 수 있도록 합니다.

5. 보안 사고 대응 계획

1. 사고 대응 팀 구성
    * 팀 구성: 보안 사고 발생 시 즉각 대응할 수 있는 팀을 구성합니다.
    * 역할 분담: 팀 내 각자의 역할을 명확히 분담합니다.
2. 대응 절차 수립
    * 절차 정의: 사고 발생 시 따라야 할 대응 절차를 명확히 정의합니다.
    * 절차 교육: 관련자에게 대응 절차를 교육하고 숙지시킵니다.
3. 모의 훈련
    * 훈련 계획 수립: 정기적으로 보안 사고 대응 모의 훈련을 계획합니다.
    * 훈련 실시: 모의 훈련을 실시하여 대응 능력을 점검하고 개선합니다.

6. 지속적인 개선

1. 정기 평가
    * 평가 계획 수립: 보안 관리 체계를 정기적으로 평가하기 위한 계획을 수립합니다.
    * 실시: 계획에 따라 정기 평가를 실시하고 결과를 분석합니다.
2. 피드백 수집
    * 피드백 요청: 내부 및 외부 이해관계자로부터 피드백을 수집합니다.
    * 반영: 수집된 피드백을 반영하여 보안 관리 체계를 개선합니다.
3. 최신 동향 반영
    * 동향 파악: 최신 보안 위협과 기술 동향을 지속적으로 파악합니다.
    * 업데이트: 파악한 동향을 보안 관리 체계에 반영하여 업데이트합니다.

이상으로 SW 공급망보안 가이드라인 1.0의 주요 내용을 해설했습니다.

기업들은 이 가이드라인을 기반으로 자사의 공급망 보안을 강화하고,

안정적인 운영 환경을 유지하기 위해 노력해야 합니다.

지속적인 보안 관리와 개선을 통해 잠재적 위협에 대비하고, 안정적인 공급망을 구축할 수 있습니다​.

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

최근 소프트웨어 개발 도구의 보안에 대한 관심이 증가하고 있습니다.

특히, 오픈소스 컴포넌트를 사용하는 도구들이 많아지면서

이러한 컴포넌트들에서 발견되는 취약점에 대한 우려도 함께 커지고 있습니다.

이 글은 유명한 코드 에디터의 오픈소스 컴포넌트에서 발견된 취약점에 대해 이야기합니다.

이 코드 에디터는 전 세계 개발자들 사이에서 널리 사용되고 있으며,

특히 그중 하나의 컴포넌트가 포함하고 있는 오래된 브라우저의 버전에서 발견된

여러 보안 취약점이 아직까지 해결되지 않은 채 업데이트되고 있습니다.

이러한 취약점들은 실제 공격에서 이미 이용된 바 있으며,

이를 통해 원격 코드 실행, 정보 유출, 서비스 거부 등 다양한 보안 위협이 가능해집니다.

이는 사용자의 시스템 보안을 심각하게 위협할 수 있습니다.

처음 확인이 된 (글쓴이는 해당 버전에서 처음 식별했습니다.) 1.85.2 버전부터

2024년 4월 4일 현재 사이트에서 배포 중인 1.87.2 버전에 이르기까지,

exten****. js 파일에 포함된 Fire*** 71.0 오픈소스 컴포넌트에서

5 가지 치명적인 오픈소스 취약점이 여전히 해결되지 않은 채 업데이트되고 있습니다.

5가지의 취약점 코드와 내용은 아래와 같으며,

CISA가 관리하는 알려진 이용된 취약점(KEV) 카탈로그에서 발췌하였습니다.

KEV는 미국 CiSA가 실제 공격에서 이용된 취약점들을 나열한 권위 있는 자료입니다.

이 카탈로그는 조직들이 취약점 관리를 우선순위에 두고 사이버 보안 조치를 강화하는 데 중요한 입력 정보를 제공합니다.

자세한 정보는 CISA 공식 웹사이트에서 확인할 수 있습니다​ (CISA)​.

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

자세한 취약점에 대한 정보는 아래 링크를 통해 확인해 주세요

https://nvd.nist.gov/vuln

해당 취약점 5가지는 코드 에디터에 포함된 exten****. js 파일에

오픈소스 컴포넌트인 Fire*** 71.0에 포함되어 있으며,

이미 해커에게 공격당하여 빠르게 패치를 하라고 권고한 취약점입니다.

아래는 exten****. js 파일이 해당 코드 에디터에서 어떤 역할을 하는지 인공지능 챗 지피티에게 문의해 봤습니다.

추가적으로 ChatGPT는 해당 이슈에 대해 이렇게 이야기하고 있습니다.

현재 제 주변에 있는 모든 개발자가 해당 소프트웨어를 사용 중에 있습니다.

이는 엄청난 취약점이며, 고쳐져야 하는 사안으로

제 지인에게는 다른 개발 도구를 추천드리고 있습니다.

소프트웨어의 보안은 그 어느 때보다 중요하며,

특히 오픈소스 컴포넌트의 취약점은 개발자와 사용자 모두에게 심각한 위협이 될 수 있습니다.

오픈소스 컴포넌트의 취약점을 주의 깊게 관리하는 것은 소프트웨어 개발의 중요한 부분입니다.

주변 친구들이 해당 소프트웨어를 사용 중이라면 해당 내용을 공유해 주시길 바랍니다.

사용 중인 도구들이 최신 상태로 유지되고 보안 위협으로부터 보호되도록,

적극적으로 패치 적용과 보안 권장 사항을 따르는 것이 필수적입니다.

이런 실천을 통해 우리는 더 안전한 디지털 환경을 조성할 수 있습니다.

해당 이슈에 대해서는 고객센터 팀에게 위와 같이 메일을 보내 놓은 상태입니다.

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!