기술 지원
문서
로그인
문의하기
공급망 공격: 현실이 된 자바 종속성의 악몽
조아오 코레이아
2023년 8월 28일 - 기술 에반젤리스트
디지털 세계는 상호 연결성을 바탕으로 번창하고 있으며, 이는 최신 소프트웨어 개발의 근간을 이루는 방대한 종속성 웹에서 더욱 분명하게 드러납니다. 종속성은 최신 소프트웨어 설계에서 필수적인 부분이지만, 동시에 심각한 취약점으로 작용할 수도 있습니다. 이 게시물에서는 Java 종속성으로 인해 심각한 보안 문제가 발생한 실제 사례를 살펴보겠습니다.
이벤트: 자바 라이브러리가 약한 고리가 되다
이 이야기는 다양한 프로젝트의 공통 종속 요소로 널리 사용되던 Java 라이브러리에서 시작됩니다. 무해해 보이는 이 라이브러리가 정교한 공급망 공격의 표적이 되었습니다.
2017년에 Java 기반 웹 애플리케이션을 개발하는 데 널리 사용되는 오픈 소스 프레임워크인 Apache Struts와 관련된 사건은 소프트웨어 공급망의 종속성과 관련된 위험을 강조했습니다. 아파치 스트럿츠의 취약점(CVE-2017-5638)으로 인해 공격자는 영향을 받는 라이브러리 버전을 실행하는 서버에서 임의의 코드를 실행할 수 있었습니다.
어떻게 이런 일이 일어났나요?
퍼펙트 스톰은 매우 중요한 단일 이벤트가 아니라 여러 요인이 복합적으로 작용하는 것을 말합니다. 이 취약점은 권투 경기장에나 있을 법한 1-2-3 펀치가 어떻게 발생했는지 잘 보여줍니다.
- 종속성을 통한 침입: Apache Struts는 수천 개의 상용 및 비공개 애플리케이션에 종속 요소로 통합되었습니다. 라이브러리에서 취약점이 발견되면 공격자는 취약한 버전을 실행하는 모든 시스템을 제어할 수 있게 됩니다.
- 공격의 확산: 아파치 스트럿츠의 광범위한 사용은 수많은 시스템이 이 취약점에 노출되어 있다는 것을 의미했습니다. 그 결과 다양한 산업과 애플리케이션에 걸쳐 위험이 가중되었습니다.
- 대응 지연: 수많은 시스템에서 취약한 종속성을 식별하고 업데이트해야 하는 복잡성으로 인해 대응이 지연되었습니다. 이러한 지연으로 인해 공격자는 취약점을 악용할 충분한 시간을 가졌습니다.
에퀴팩스 유출 사고: 실제 결과
이 취약점의 가장 중요한 실제 결과 중 하나는 공격자가 Apache Struts 취약점을 악용하여 약 1억 4,300만 명의 민감한 데이터에 액세스한 Equifax 침해 사고였습니다. 이 침해 사고는 광범위한 영향을 미쳤으며, Equifax뿐만 아니라 정보가 노출된 수많은 사람들에게도 영향을 미쳤습니다.
교훈 및 완화 전략
아파치 스트럿츠 사건은 공급망 리스크가 실제적인 결과를 초래할 수 있다는 점을 상기시켜주는 경고의 메시지입니다. 이러한 위험을 최소화하기 위해 취할 수 있는 조치는 다음과 같습니다:
- 정기적인 취약점 검사: 알려진 취약점이 있는지 종속성을 정기적으로 검사하고 즉시 업데이트하면 조기 발견에 도움이 될 수 있습니다.
- 최소 권한 모델을 채택하세요: 종속 요소의 권한을 제한하면 종속 요소가 전체 시스템의 게이트웨이가 되는 것을 방지할 수 있습니다.
- 종속성 모니터링: 사용 중인 종속성 및 관련 위험에 대한 가시성을 제공하는 도구를 활용하세요.
- 강력한 거버넌스 보장: 타사 라이브러리 사용에 대한 엄격한 제어를 구현하고 모든 종속성 인벤토리를 최신 상태로 유지합니다.
- 신뢰할 수 있는 파트너를 찾으세요: 프로젝트에 가져온 종속성을 유지 관리하고 테스트할 수 있는 적절한 조직과 협력하세요.
탄탄한 기반에 의존하면 프로젝트에 항상 새로운 취약점을 주시하고 자신 있게 가져와 업데이트할 수 있는 최신 라이브러리를 제공하는 사람이 있습니다. 이는 다음을 통해 쉽게 이루어집니다. Java용 SecureChain.
최종 생각
Apache Struts 사건은 소프트웨어 개발, 특히 Java와 같이 널리 사용되는 언어에서 수많은 종속성을 관리할 때의 위험과 과제를 조명합니다. 점점 더 상호 연결된 디지털 환경으로 나아감에 따라 종속성을 모니터링하고 관리하는 데 있어 경계의 필요성이 그 어느 때보다 분명해졌습니다. 적절한 위험 관리 전략을 이해하고 구현함으로써 향후 파괴적인 공급망 공격의 가능성을 줄일 수 있습니다.
