ClickCease 공급망 공격 - 위험 인식과 현실의 차이

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

공급망 공격 - 위험 인식과 현실의 차이

by 조아오 코레이아

2023년 10월 31일 기술 에반젤리스트

공급망 공격은 최근 몇 년 동안 급증하여 사이버 보안 환경에서 점차 강력한 위협이 되고 있습니다. 그러나 이러한 공격의 확산에도 불구하고 잠재적 피해에 대한 인식과 현실 사이에는 괴리가 있는 것 같습니다. 엄청난 수의 개발자가 코드베이스가 안전하고 뚫을 수 없다고 가정하여 '내 뒷마당에는 안 된다'는 사고방식을 보입니다. 그러나 실제 지표는 대조적인 이야기를 들려주며, 많은 소프트웨어가 종속성에서 비롯된 취약성으로 인해 취약한 것으로 나타났습니다.

 

보이지 않는 종속성의 그물망

 

개발자가 라이브러리를 코드에 통합할 때 소프트웨어와 조용히 얽혀 있는 종속성 사슬을 깨닫는 경우는 드뭅니다. 하나의 라이브러리가 무수히 많은 다른 종속성을 가져올 수 있으며, 각 종속성에는 고유한 취약성이 존재합니다.

 

에 따르면 소나타입에 따르면 12,000개가 넘는 라이브러리 중 10%만이 자체 코드에 취약점을 가지고 있었지만, 종속성으로 인한 전이성 취약점을 고려하면 그 수치는 62%로 급증했습니다. 종종 과소평가되거나 간과되는 이 시나리오는 소프트웨어를 보이지 않는 다양한 위협에 노출시켜 공급망 공격의 표적이 되기 쉽습니다.

 

보안의 신기루

 

아이러니하게도 위협이 커지고 있음에도 불구하고 상당수의 개발자는 자신의 애플리케이션이 취약한 라이브러리를 사용하고 있지 않다고 믿고 있습니다. 소나타입의 설문조사에 따르면 개발자의 68%가 자신의 애플리케이션이 알려진 취약한 라이브러리를 사용하지 않는다고 확신하는 것으로 나타났습니다. 그러나 55,000개의 기업 애플리케이션을 검사한 결과 68%가 실제로 알려진 취약점을 가지고 있는 것으로 나타났습니다.

 

이러한 인식과 현실 사이의 현저한 차이는 개발자가 코드에 숨어 있는 위험에 대해 왜 눈감고 있는지에 대한 중요한 의문을 제기합니다.

 

'나한테는 일어나지 않을 것'이라는 착각

 

이러한 불균형은 개발자는 물론 IT 관리자조차도 자신의 코드와 관행이 최고 수준이라고 인식하는 암묵적인 편견으로 인해 발생하는 경우가 많습니다. '나에게는 일어나지 않겠지'라는 신드롬이 뿌리내려 위험을 과소평가하고 내부 관행을 과신하는 악순환이 지속됩니다. 

 

게다가 방대한 종속성, 업데이트, 취약성 웹을 관리하고 추적하는 것은 매우 복잡한 작업입니다. 각 Java 애플리케이션에는 평균 148개(전년 대비 20개 증가)의 종속성이 포함되어 있고 1년에 10회 업데이트되므로 개발자는 애플리케이션당 연간 약 1,500개의 종속성 변경에 대한 인텔리전스를 관리하는 데 어려움을 겪게 됩니다.

 

과실의 위험

 

이러한 가운데 악성 오픈 소스 패키지의 위협은 불길하게도 증가하고 있습니다. 한 해 동안 무려 88,000개의 악성 오픈소스 패키지(및 그 버전)가 발견되었습니다.이는 의도적이거나 의도하지 않은 취약점으로 인해 기업 시스템에 대한 위험이 급증하고 있음을 나타냅니다. 이러한 악성 활동의 급증은 시장 출시 기간을 단축하려는 개발 팀이 보안을 철저히 검증하는 대신 오픈 소스 패키지의 사용을 늘리고 있다는 증거입니다.

 

패러다임 전환: 보이지 않는 위험 완화

 

이러한 위험을 완화하려면 소프트웨어 개발 및 보안에 대한 개발자와 조직의 접근 방식에 패러다임의 전환이 필요합니다:

 

  • 보이지 않는 것을 인정하기: 개발자와 조직은 먼저 사용하는 라이브러리의 종속성 속에 숨어 있는 잠재적 위협을 인식해야 합니다.

 

  • 투명한 종속성 관리: 종속성에 대한 가시성과 관리를 보장하는 도구와 관행을 사용하면 개발자는 모든 통합 라이브러리와 각 종속성을 명확하게 파악할 수 있습니다.

 

  • 보안 우선 순위 지정: 구성 요소를 선택할 때는 취약점이 적고 종속성 트리가 작은 덜 인기 있는 프로젝트를 선택하더라도 보안을 우선시해야 합니다.

 

  • 사전 예방적 보안 조치 도입: 인기 있지만 검증되지 않은 리포지토리보다는 신뢰할 수 있는 종속성 소스를 우선적으로 사용하는 것이 현명합니다. 다음과 같은 서비스 TuxCare의 Java용 SecureChain 와 같은 서비스가 바로 이 기능을 제공합니다.

 

  • 지속적인 모니터링 및 업데이트: 취약성에 대한 종속성을 지속적으로 모니터링하고 라이브러리를 정기적으로 업데이트하면 잠재적인 위협으로부터 소프트웨어를 보호하는 데 도움이 됩니다.

 

위협 환경이 계속 진화함에 따라 보이지 않는 위험을 인식하고 강력한 보안 관행을 개발 라이프사이클에 포함시키는 것은 피할 수 없는 과제가 되었습니다. 과신과 과소 평가는 공격자가 프로덕션 소프트웨어를 적극적으로 해칠 수 있을 만큼만 보호하는 일종의 선택적 실명을 유발하므로 급증하는 공급망 공격의 위협으로부터 소프트웨어를 보호하기 위해 적극적으로 피해야 합니다. 

 

개발자와 조직은 모두 경각심을 가지고 복잡한 종속성 웹을 탐색하여 숨겨진 위험 속에서 코드의 보안을 유지해야 합니다.

요약
공급망 공격 - 위험 인식과 현실의 차이
기사 이름
공급망 공격 - 위험 인식과 현실의 차이
설명
이 문서에서 공급망 공격에 대한 인식과 잠재적 피해의 현실 사이의 괴리를 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기