진짜 문제는 우리가 그만큼 준비가 안 돼 있다는 사실입니다
2025년 5월 보안 업계에서 다시 한 번 **‘공급망 공격’**이 화두에 올랐습니다.
“라자루스, 한국 SW 공급망 완벽하게 이해하며 공격 벌여”라는 제목의 기사가 많은 보안 전문가들의 관심을 끌었지만, 실제 내용을 들여다보면 크게 새로울 것은 없었습니다.
북한 연계 해킹 조직인 라자루스(Lazarus) 그룹은 이미 수년 전부터 한국의 소프트웨어 공급망을 공격 대상으로 삼아 지속적인 위협 활동을 전개해 왔습니다. 특히, 국내 소프트웨어 개발사나 솔루션 유통업체를 침투 거점으로 삼아, 2차 감염 형태로 고객사 내부망을 노리는 방식이 반복되고 있습니다.
그럼에도 불구하고, 우리는 여전히 공급망 보안 체계에 대한 근본적인 개선 없이 “탐지 위주”의 대응에 머물고 있는 상황입니다.
탐지는 하고 있다, 하지만 대응은?
공격을 탐지하는 기술은 날로 발전하고 있습니다. EDR, XDR, NDR 같은 다양한 솔루션이 존재하지만, 탐지 이후의 대응 프로세스는 여전히 인적 자원에 의존하고 수작업에 가까운 경우가 많습니다.
이러한 한계를 극복하기 위해, 보안 기업 트렌드마이크로는 이번 기사에서 자사 솔루션 ‘비전 원(Vision One)’을 소개하며 SOAR 기반의 자동화 대응 체계 도입 필요성을 강조합니다.
비전 원은 다양한 보안 영역(엔드포인트, 이메일, 서버, 클라우드)에서 탐지된 위협 데이터를 연계 분석하고, 사전 정의된 플레이북에 따라 자동으로 대응 절차를 수행할 수 있도록 설계된 플랫폼입니다.
하지만 이 역시 단순한 기술 도입으로 해결될 문제가 아니라는 점에서 주의가 필요합니다.
진짜 위협은 외부가 아니라 내부에 있다
라자루스가 한국의 공급망을 완벽히 이해하고 있다면, 그건 단순히 그들의 기술력이 뛰어나서가 아니라, 한국의 공급망 구조와 보안 현실이 너무나도 잘 보이기 때문입니다.
- 여전히 보안 조직이 없는 중소 소프트웨어 기업
- 여전히 정적 분석에 의존한 형식적인 보안 점검
- 여전히 SBOM과 VEX를 모르는 담당자들
- 그리고 여전히 유효하지 않은 인증서가 붙은 인스톨러가 아무 경고 없이 배포되는 현실
이런 환경에서는 아무리 XDR이나 SOAR 같은 최신 기술을 도입하더라도 **“공격자가 공격을 포기할 이유가 없는 환경”**이 계속 유지됩니다.
결론 – 완벽하게 이해한 건 라자루스가 아니라, 우리 시스템이 너무 단순했을 뿐
기사 제목처럼 라자루스가 우리 공급망을 완벽하게 이해하고 있다면,
그건 우리가 복잡한 방어 구조를 갖추지 못했기 때문입니다.
공격자가 전략을 바꿀 필요 없이 몇 년 전 방법 그대로 계속 성공하고 있는 현실, 그것이 진짜 위협입니다.
지금 우리가 해야 할 일은 다음과 같습니다:
- SBOM을 통한 공급망 구성요소 가시화
- VEX 기반으로 위협의 영향도 판단 체계 마련
- 정적 + 반정적 분석을 결합한 보안 점검 체계 구축
- 탐지 이후 자동화된 대응 플레이북 운영
공급망 공격은 멀리 있지 않습니다.
당신이 지금 설치하려는 소프트웨어 인스톨러 안에, 이미 시작된 전쟁의 단서가 숨어 있을지도 모릅니다.
'보안 소식' 카테고리의 다른 글
미국 은행 103개, 1년 동안 해커에게 이메일 털렸다 (1) | 2025.04.15 |
---|---|
클롭 랜섬웨어 공격: MOVEit 취약점을 노린 치밀한 해킹 전략과 대응 방안" (0) | 2025.03.18 |
바이든 행정부의 새로운 사이버보안 행정명령: 미국 정부 공급업체의 안전성 입증 요구 (2) | 2025.01.20 |
미국의 새로운 사이버 보안 행정 명령: 국가 보안 강화 및 혁신 촉진 (0) | 2025.01.20 |
SW 공급망 보안 가이드라인 1.0 완벽 해설서 (3) | 2024.05.20 |