CISA와 NIST에서 공급망 공격에 대한 새로운 권고 발표

 

 

CISA, NIST published an advisory on supply chain attacks

 

미 CISA(Cybersecurity and Infrastructure Security Agency)와 NIST(National Institute of Standards and Technology)가 네트워크 관리자를 위한 공급망 공격과 관련된 트렌드 및 모범 사례를 제공하는 공동 권고를 발표했습니다.

 

소프트웨어 공급망 공격은 공격자가 소프트웨어 벤더의 네트워크를 해킹하고, 벤더가 소프트웨어나 업데이트를 고객에게 전달하기 전 악성코드를 삽입하는 방식으로 이루어집니다.

 

최근 발생한 SolarWinds 관련 공격은 공급망 공격이 얼만큼 위험한지, 그리고 이를 탐지하기가 얼마나 어려운 일인지를 보여주었습니다.

 

이 권고는 공급망 공격과 관련된 위협을 식별하고, 평가 및 완화하는데 NIST의 C-SCRM(Cyber Supply Chain Risk Management) 프레임워크와 SSDF(Secure Software Development Framework)를 이용할 것을 권고했습니다.

 

공급망 공격을 실행하는데 가장 많이 사용되는 기술은 아래와 같습니다.

 

- 업데이트 하이재킹
- 코드 서명 훼손
- 오픈소스 코드 해킹

 

어떤 경우에는 위의 기술을 혼합하여 운영의 효율성을 개선할 수 있습니다.

 

이러한 공격의 대부분은 리소스가 풍부한 공격자와 첨단 기술 능력을 보유한 APT 그룹에서 실행합니다.

 

공동 권고에서는 이에 대해 아래와 같이 언급했습니다.

 

“소프트웨어 공급망 공격을 진행하기 위해서는 일반적으로 강력한 기술 및 장기적인 노력이 필요하기 때문에 실행이 쉬운 편은 아닙니다. 일반적으로 APT 그룹이 국가 안보를 위협할 수 있는 고도의 기술을 사용하는 장기적인 소프트웨어 공급망 공격 캠페인을 수행할 수 있는 동기와 능력을 모두 보유하고 있을 가능성이 높습니다.”

 

이 보고서에서는 조직이 아래 2가지 이유로 이러한 종류의 공격에 취약하다고 지적했습니다.

 

- 많은 타사 소프트웨어 제품이 액세스 권한을 요구함
- 많은 타사 소프트웨어 제품이 공급 업체의 네트워크와 고객의 네트워크에 위치한 소프트웨어 제품 간 빈번한 통신을 요구함

 

이 권고는 조직이 공급망 공격을 방지할 수 있는 방법과, 이 기술을 사용하여 악성코드 및 취약한 소프트웨어가 확산될 경우 이를 완화할 수 있는 방법에 대한 권장 사항이 포함되어 있습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/117286/hacking/cisa-nist-supply-chain-attacks.html

https://www.cisa.gov/sites/default/files/publications/defending_against_software_supply_chain_attacks_508.pdf