공급망 공격이 하도 기승을 부리고 있어서 소프트웨어 구성 요소를 공개하는 것이 서서히 정착하는 모양이다. 구성 요소를 낱낱이 알게 되면 공격에 더 잘 대응할 수 있다는 것이다. 그런데 그런 점만 있는 게 아니다.
[보안뉴스=로버트 레모스 IT 칼럼니스트] 보안에 민감한 조직들은 계속해서 소프트웨어 물자표(SBOM)라는 것을 강력하게 요구하고 있다. 애플리케이션들에 들어가는 요소들을 하나하나 확인하고 싶다는 것이다. 내가 구매하려는, 혹은 사용하려는 것들이 어떤 재료로 만들어져 있는지 알게 된다면 위험을 예상하고 대비하는 게 지금보다 나아질 것은 분명하다.
[이미지 = gettyimagesbank]
그런데 이 소프트웨어 물자표라는 게 사용자에게만 좋은 걸까? 공격자가 소프트웨어 구성표를 검토해 어떤 회사에 어떤 요소들이 설치되어 있는지 간편하게 알게 된다면, 그건 위험한 일이 아닐까? 보안 업체 파아나이트스테이트(Finite State)의 분석가 래리 페스(Larry Pesce)는 “지금 공격자들이 각종 패킷과 멀웨어를 심어 정찰을 한 후 빼내는 정보 중 일부가 무상으로 제공되는 것과 같다”고 지적한다.
실제로 현대의 사이버 공격자들은 ‘기술 분석’을 미리 실시하는 경우가 많다. 소스코드를 역설계하고 이미 공개된 취약점이 적용되는지 확인하여 특정 애플리케이션을 어떤 식으로 공략하는지 파악한 후, 어느 기업이나 기관이 해당 애플리케이션을 가지고 있는지 조사해 공략하는 식이다. 이 과정은 생각보다 쉽지 않으며 공격자 편에서 적잖은 자원을 투자해야 할 수도 있다. “그런데 물자표가 돌아다니기 시작하면 이 과정이 생략되는 것이죠.”
에스봄(SBOM)이라고 흔히 발음되는 ‘소프트웨어 물자표’는 공식적으로 도입된 것은 아니지만, 점점 이를 요구하는 고객들이 늘어나고 있다. 그러면서 소프트웨어 개발사들도 물자표 정보를 준비해 특정 고객들이나 대중들에게 공개하기도 한다. 가트너(Gartner)가 조사한 바에 의하면 약 60%의 기업들이 이를 실시하는 중이라고 한다. 업계 표준까지는 아니지만 소프트웨어 산업에서 어느 새 적잖은 비중을 차지하는 것이 되어버린 것이 사실이다. 그렇기에 소프트웨어 물자표 제공이라는 것의 보완점을 얘기해야 할 시기가 됐다.
소프트웨어 물자표를 공격에 활용하기
페스는 “소프트웨어가 무엇으로 구성되어 있는지 세세하게 집계해 둔 정보는 공격자들에게 매우 유용할 수 있다”고 주장한다. “지금 회사들 사이에 돌아다니고 있는 수준의 정보만으로도 공격자들은 어떤 CVE가 존재하고 있을지 꽤나 정확하게 유추할 수 있습니다. 그러면 그 취약점에 대한 익스플로잇을 검색하거나 구매해 공격하면 됩니다. 게다가 요즘 공격자들 중 ‘리빙오프더랜드(living off the land)’ 전략을 구사하는 사례도 많습니다. 피해자의 시스템에 이미 설치된 것들을 악용하는 건데요, 소프트웨어 구성표를 보면 어떤 식의 리빙오프더랜드 전략을 구사해야 하는지도 그림을 그릴 수가 있죠.”
현재 미국 상무부의 가이드라인에 따르면 소프트웨어 물자표에는 다음과 같은 정보가 기본적으로 포함되어야 한다.
1) 제공자
2) 구성 요소 이름과 버전
3) 디펜던시 관계
4) 타임스탬프(최신 업데이트 시)
물자표를 다량으로 확보한 공격자라면, 그 데이터베이스를 쇼단(Shodan)처럼 활용할 수도 있다는 게 페스의 주장이다. “방어자들은 공동 대응을 위해 스스로를 어느 정도 환하게 공개하는 건데, 이게 오히려 공격자들에게는 도움이 되는 상황인 겁니다. 저는 개인적으로 물자표를 다량으로 취합하여 공격에 활용하는 사례들이 조만간 나올 거라고 보고 있습니다.”
레드팀
이러한 주장은 소프트웨어 물자표를 제도로 정착시키고자 하는 사람들에게 큰 반발을 사고 있다. 가뜩이나 물자표 제공에 참여하려는 기업을 확보하는 게 쉽지 않고, 이 제도가 많은 업체들의 참여를 기본 바탕으로 깔고 있기 때문에 더 많은 참여자 확보가 관건인 상황에서 “물자표는 공격에 오히려 도움이 된다”는 지적이 나오면 참여하려다가도 그만둘 것이라는 게 그들의 주장이다.
하지만 페스는 “사실인 걸 어떻게 하느냐”는 입장이다. “보안 전문가인 저도 소프트웨어 물자표를 보면서 공격의 방법들이 떠올랐는데, 공격자들은 오죽할까요. 그러면 이런 저런 우려가 있으니 대책을 마련해보자고 공론화 해서 방법을 찾아야지 감추기만 하는 건 능사가 아닙니다. 저는 실제 소프트웨어 물자표를 가지고 공격을 기획해보기를 권장합니다. 레드팀이 되어보라는 것이죠. 그러면 이게 얼마나 유용한지 체감이 될 겁니다.”
그렇다고 소프트웨어 물자표를 비공개로 하고, 고객들에게만 공유하는 것도 그리 장기적인 대책이 되지는 못할 것이라고 페스는 지적한다. “어떤 정보든, 이렇게 유용하다면 공격자는 반드시 찾아냅니다. 게다가 이 물자표라는 게 특성상 계속해서 퍼지고 공유될 수밖에 없잖아요. 비밀로 지켜질 수 있는 정보가 아닙니다. 다른 식의 보완책이 필요합니다.”
글 : 로버트 레모스(Robert Lemos), IT 칼럼니스트
[국제부 문정후 기자([email protected])]