[박정인의 산업보안이야기]⑩ 공급망 공격에 대응하는 기업의 자산 보호 방향
산업보안이란 산업적으로 보호할 가치가 있는 유무형의 자산을 보호하는 것으로서 영리적인 것에 한정되지 않고 비영리적인 재화나 서비스를 생산하는 활동도 포함하며, 범죄로부터 생명·신체·재산을 보호하고 사회 안녕과 질서를 지키는 제반활동을 말한다.
안전(Safety)은 예기치 못한 위험과 위협이 생길 염려가 없는 우연한 상황을 말한다면, 산업보안은 산업활동에 유용한 기술상, 경영상의 모든 정보나 인원, 문서, 시설, 자재 등을 산업스파이나 경쟁관계에 있는 기업은 물론이고 특정한 관계가 없는 자에게 누설 또는 침해당하지 않도록 보호·관리하기 위한 대응을 할 수 있는 상황을 전제로 한다.
 |
| ▲ [사진=픽사베이 제공] |
공급망 공격은 어디까지나 고객인 기업이나 개인이 아니라 공급망 자체에 발생된 침해사고를 말한다. 하지만 고객인 기업에도 영향을 미칠 수 있고 공급망 사고로 인해 누출된 데이터와 그 데이터의 영향력, 그리고 공격 의도 등을 분석하여야만 공급망 공격에 체계적으로 대비할 수 있다.
즉, 공급망 공격은 A 기업의 영업비밀을 침해하기 위해 A 기업을 직접 공격하지 않고 원하는 공격 목표 자산에 따라 공급망을 공격하는 것이다.
공격의 방법은 다양하다. 첫째, 공개출처 정보(OSINT)인 자격증명, 응용프로그램 인터페이스(API) 인증에 사용되는 API키, 사용자 이름 등에 대한 온라인 검색을 하거나 구성요소의 취약점을 활용하여 이를 공격하고, 시큐어 셀(SSH·원격 시스템 명령 응용프로그램) 비밀번호 및 웹사이트 로그인 비밀번호를 추측하여 무차별 대입 공격을 하는 방법 등을 들 수 있다.
둘째는 기술적 보호조치를 무력화함으로써 공급망 공격을 가하는 수법들이다.
하드웨어를 수정하고 물리적 침입, 피싱, 가짜 애플리케이션, 타이포스쿼팅(typo-squatting·URL 주소 속여 가짜 사이트 유도), Wi-Fi 위조, 공급업체의 악성행위를 유도하거나 애플리케이션 SQL(구조화된 데이터 질의 언어) 인젝션(SQL 삽입) 및 버퍼 오버플로(할당된 버퍼 크기 초과)와 같은 소프트웨어 취약점을 공격하기도 한다.
또 악성코드를 주입시켜 직원의 자격증명을 훔치는 원격 액세스 트로이 목마(RAT)와 백도어, 랜섬웨어 같은 스파이웨어를 통해서나, 인증·자동업데이트·백업 등을 신뢰하여 이를 실행하도록 유도하기도 한다. 웹사이트에 악성 스크립트를 삽입해 악성코드 감염을 유도하고 공급업체 사칭 메시지나 가짜 업데이트 등을 통하여 공급망 공격을 하는 경우도 있을 수 있다. 그 밖에도 많은 공격방법이 있을 수 있다.
첫째의 경우 공급망 시스템에 대한 접근통제, 이용통제 범위를 이용한 수법이기는 하지만 기술적 보호조치를 무력화한 상황은 아니라고 할 것이지만, 둘째의 경우에는 기술적 보호조치를 무력화하고 더 나아가서는 정보통신기반을 파괴하여 고객사(기업)의 자산을 무너뜨릴 수 있다.
2006년 산업기술의 유출방지 및 보호에 관한 법률이 제정된 이후 기업의 자산을 얻기 위한 해커들의 공격은 도를 넘고 있으며, 고객사 공격이 아닌 공급망 공격을 통해 안정적으로 개인정보(고객 데이터, 직원 기록, 자격 증명 등의 정보)를 취득하고자 공격하는 과거의 의도를 넘어서서 분산서비스 거부(DDoS·디도스) 공격으로 대역폭을 사용하고자 한다.
또, 지불데이터, 판매 데이터, 재무 데이터, 비행 계획, 지식재산 등을 아예 처음부터 목표로 하거나 고객제품의 소스코드에 접근하여 고객 소프트웨어 수정 등을 통해 감시체계를 가능하게 하고, 암호화폐를 도용하거나 송금, 은행계좌를 탈취하고 업데이트, 백업, 검증, 인증서 서명 프로세스를 오용시키는 등 공급망 공격의 방법이 도를 넘고 있다.
2017년 6월, 대한민국의 웹 호스팅 업체인 인터넷나야나의 웹서버 및 백업 서버 153대가 랜섬웨어의 일종인 에레버스(Erebus) 리눅스용 변종에 일제히 감염된 사건의 경우 해커가 요구하는 13억을 지불하는 비극적 방식으로 마무리되었다. 이처럼 공급망이 공격당하였으나 기업사 입장에서는 얼마나 해킹을 했는지 알아 볼 방법이 거의 없는 상태에서 협박을 당하거나 하는 경우에는 얼마나 정보 유출이 일어난 상황인지 알 길이 없다.
그러므로 기업은 공급업체의 코드를 침해하여 공급망 공격이 주로 일어나는 경우에 기업은 자사 또는 타사의 코드나 소프트웨어가 변조되지 않았는지 자주 검증할 필요가 있고 침해사고 분석을 자주 수행하여야 한다.
기업의 입장에서는 공급망 공격이 일어났는지 알 길이 없고 공격이 복잡하고 정교하여 침해사고를 탐지하는 것이 지연되기 쉽다. 그런 만큼 공급망 공격 동향을 항상 주목하고 제품 및 서비스 수명주기 동안 공급망이 관리하는 자산 및 정보를 분류해야 한다. 또 패치 관리 등 사고 발생 시 공급업체와의 계약 변경을 검토할 수 있는 절차를 마련해 두어야 한다.
’정보통신망 이용촉진 및 정보보호 등에 관한 법률‘(정보통신망법)의 경우, ‘이용자 동의없이 개인정보를 수집한 자, 개인정보 목적 외에 이용한 자 및 제3자에게 제공하거나 제공받은 자, 이용자 개인정보를 훼손·침해·누설한 자, 정보통신망에 침입한 자, 정보통신망에 장애발생하게 한 자, 타인의 정보를 훼손하거나 및 타인의 비밀을 침해·도용·누설한 자’는 5년이하 징역 또는 5천만원 벌금에 처할 수 있도록 하고 있다.
또, ‘속이는 행위에 의해 개인정보를 수집한 자, 직무상 비밀을 누설하거나 직무상 목적 외에 사용한 자’는 3년 이하의 징역 또는 3천만원 이하의 벌금에, ‘기술적 관리적 조치 미이행으로 개인정보를 분실·도난·유출·위조·변조·훼손한 정보통신서비스 제공자’는 2년 이하의 징역 또는 2천만원 이하의 벌금에, ‘표준화 및 인증을 위반한 제품을 표시·판매·진열한 자’는 1년 이하의 징역 또는 1천만원 이하의 벌금에 각각 처할 수 있도록 하고 있다.
최근 데이터와 기업 자산의 가치가 증가하고 있는 상황에 비춰보면 공급망을 통한 침해행위, 즉 행위규제 입법이다 보니 지나치게 형량이 낮은 감이 있다.
정보통신기반 보호법은 인터넷 서비스 제공자(Internet Service Provider·ISP)나 통신사와 같은 주요 정보 통신 기반시설에 대한 보호법으로, 주요 정보 통신 기반 시설을 교란, 마비 또는 파괴한 자는 10년 이하의 징역 또는 1억원 이하 벌금에 처할 수 있도록 하고 있다.
‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’(클라우드컴퓨팅법)의 경우, ‘이용자 동의없이 이용자 정보를 이용하거나 제3자에게 제공한 자 및 이용자의 동의 없음을 알면서도 영리 또는 부정한 목적으로 이용자 정보를 제공받은 자’는 5년 이하 징역 또는 5천만원 이하 벌금에 처하도록 규정하고 있다.
많은 공공 데이터를 생성·관리하는 ‘전자정부 보호를 위한 전자정부법’(전자정부법)은 ‘행정정보를 위조·변경·훼손하거나 말소하는 행위를 한 사람’은 10년 이하의 징역에 처하도록 하고 있고, ‘행정 정보 공동 이용을 위한 정보 시스템을 정당한 이유 없이 위조·변경·훼손하거나 이용한 자, 행정 정보를 변경하거나 말소하는 방법 및 프로그램을 공개·유포한 행위를 한 자’는 5년 이하의 징역 또는 5천만원 이하 벌금에 처할 수 있도록 하고 있다.
이에 정보통신망법 상 행위규제 그 자체 외에도, 결과적으로 거래적 가치가 높은 기업자산이거나 산업기술유출보호법 상의 주요 정보(데이터 포함)를 탈취한 경우 가중 처벌 요건에 넣는 방안을 검토해 해커들의 공급망 공격에 일침을 놓는 강력한 제재가 있기를 희망한다.
[박정인 단국대 연구교수·법학박사]
[저작권자ⓒ 메가경제. 무단전재-재배포 금지]
