오픈소스·SaaS 노리는 하이테크 범죄, 공급망 보안 위협 심화

보안, 숨겨진 연결고리를 찾아라: 공급망 공격의 진화

오늘날 기업들은 소프트웨어, 데이터, 서비스를 마치 레고 블록처럼 조립하여 사용합니다. 이러한 복잡한 연결망, 즉 공급망은 효율성을 높이지만, 동시에 새로운 형태의 사이버 공격에 취약해지고 있습니다. 특히 오픈소스 소프트웨어(Open Source Software, OSS: 누구나 코드를 보고 수정할 수 있는 공개된 소프트웨어)와 서비스형 소프트웨어(Software as a Service, SaaS: 클라우드 기반으로 제공되는 소프트웨어) 환경으로 공격 대상이 확대되면서, 기업들은 전에 없던 보안 위협에 직면하고 있습니다. 이제 ‘내 것만 잘 지키면 된다’는 안일한 생각은 버려야 합니다. 연결된 모든 고리가 안전한지 끊임없이 감시하고 대비해야 생존할 수 있습니다.

공급망 공격, 그 검은 속내를 파헤치다

공급망 공격(Supply Chain Attack)은 소프트웨어 개발 단계, 배포 과정, 또는 사용 중인 시스템의 취약점을 이용하여 최종 사용자를 공격하는 방식입니다. 마치 수도관에 독극물을 풀어 도시 전체를 오염시키는 것과 같습니다. 과거에는 대형 소프트웨어 기업의 업데이트 서버를 해킹하여 악성코드를 심는 방식이 주를 이루었지만, 최근에는 오픈소스 라이브러리나 SaaS 플랫폼의 취약점을 파고드는 더욱 교묘한 수법이 등장하고 있습니다.

오픈소스는 개발 비용을 절감하고 생산성을 높이는 데 기여하지만, 동시에 보안 취약점을 내포할 가능성이 높습니다. 누구나 코드를 수정할 수 있다는 점은 장점이지만, 악의적인 사용자가 숨겨진 코드를 삽입하거나 기존 취약점을 악용할 수도 있습니다. 마치 자물쇠가 없는 공동 창고와 같습니다. SaaS 역시 마찬가지입니다. 기업들은 SaaS를 통해 다양한 서비스를 저렴하게 이용할 수 있지만, SaaS 제공 업체의 보안이 뚫리면 연결된 모든 기업의 데이터가 위험에 노출될 수 있습니다. 이는 마치 여러 세입자가 하나의 건물에 사는 것과 같으며, 건물주의 보안이 허술하면 모든 세입자가 도둑의 표적이 될 수 있습니다.

이러한 공격에 대응하기 위해서는 소프트웨어 구성 명세서(Software Bill of Materials, SBOM)를 도입하여 사용하는 모든 소프트웨어 구성 요소를 투명하게 관리하고, 취약점 관리(Vulnerability Management) 시스템을 구축하여 알려진 취약점을 신속하게 해결해야 합니다. 또한, 제로 트러스트(Zero Trust) 보안 모델을 적용하여 내부망에 대한 무조건적인 신뢰를 버리고 모든 접근을 검증해야 합니다. 제로 트러스트는 ‘아무도 믿지 않는다’는 전제하에 모든 사용자, 장치, 네트워크 트래픽을 검증하는 보안 프레임워크입니다. 마치 은행 금고처럼, 모든 접근 시도에 대해 엄격한 신원 확인 절차를 거치는 것과 같습니다.

경쟁 기술로는 침입 탐지 시스템(Intrusion Detection System, IDS)과 침입 방지 시스템(Intrusion Prevention System, IPS)이 있습니다. IDS는 네트워크 트래픽을 감시하여 악성 활동을 탐지하는 역할을 하며, IPS는 IDS의 기능을 확장하여 악성 트래픽을 차단하는 역할까지 수행합니다. 하지만 IDS/IPS는 이미 발생한 공격에 대한 사후 대응적인 성격이 강하며, 새로운 형태의 공격에는 취약할 수 있습니다. 반면, SBOM, 취약점 관리, 제로 트러스트는 공격을 사전에 예방하고 피해를 최소화하는 데 초점을 맞춘다는 점에서 차별점을 가집니다.

보안, 새로운 경제 전쟁의 최전선

공급망 공격은 기업의 평판을 실추시키고, 막대한 경제적 손실을 야기하며, 심지어 국가 안보까지 위협할 수 있습니다. 2020년 발생한 SolarWinds 해킹 사건은 미국 정부 기관과 주요 기업들이 사용하는 소프트웨어를 통해 광범위한 정보 유출을 초래했으며, 그 피해 규모는 수십억 달러에 달하는 것으로 추정됩니다. 이 사건은 공급망 보안의 중요성을 전 세계에 알리는 계기가 되었습니다.

공급망 보안 시장은 빠르게 성장하고 있으며, 2023년에는 수십억 달러 규모에 이를 것으로 예상됩니다. 가트너(Gartner)에 따르면, 2025년까지 전 세계 기업의 60%가 공급망 보안 강화를 위한 투자를 확대할 것으로 전망됩니다. 보안 솔루션 제공 기업, 컨설팅 기업, 그리고 사이버 보험 회사들이 수혜를 입을 것으로 예상됩니다. 반면, 보안에 소홀한 중소기업들은 경쟁력을 잃고 시장에서 도태될 위험에 처할 수 있습니다.

특히 오픈소스 보안 시장은 더욱 빠르게 성장할 것으로 예상됩니다. 리눅스 재단(Linux Foundation)은 오픈소스 보안 강화를 위해 OpenSSF(Open Source Security Foundation)를 설립하고, 다양한 보안 프로젝트를 지원하고 있습니다. 이는 오픈소스 생태계의 보안을 강화하고, 기업들이 안심하고 오픈소스를 사용할 수 있도록 돕는 데 목적이 있습니다.

보안, 미래를 위한 투자: 6개월 후, 2년 후

향후 6개월에서 2년 내에 공급망 공격은 더욱 지능화되고 다양화될 것으로 예상됩니다. 공격자들은 인공지능(Artificial Intelligence, AI)과 머신러닝(Machine Learning, ML) 기술을 활용하여 더욱 정교한 공격을 감행하고, 탐지를 회피하는 기술을 개발할 것입니다. 기업들은 이에 대응하기 위해 AI 기반의 보안 솔루션을 도입하고, 위협 인텔리전스(Threat Intelligence)를 강화해야 합니다. 위협 인텔리전스는 잠재적인 위협에 대한 정보를 수집, 분석, 배포하여 사전 예방적인 보안 조치를 가능하게 합니다.

주목해야 할 후속 마일스톤으로는 SBOM 표준화, 취약점 관리 자동화, 그리고 제로 트러스트 아키텍처 확산을 꼽을 수 있습니다. SBOM 표준화는 다양한 기업들이 사용하는 소프트웨어 구성 요소를 일관된 방식으로 관리할 수 있도록 돕고, 취약점 관리 자동화는 취약점 발견부터 해결까지의 과정을 자동화하여 대응 속도를 높입니다. 제로 트러스트 아키텍처 확산은 기업들이 내부망에 대한 무조건적인 신뢰를 버리고 모든 접근을 검증하는 보안 모델을 구축하도록 유도합니다.

결론적으로, 공급망 보안은 더 이상 선택 사항이 아닌 필수 사항입니다. 기업들은 보안을 비용이 아닌 투자로 인식하고, 적극적으로 보안 역량을 강화해야만 미래의 위협으로부터 스스로를 보호할 수 있습니다.