공급망 공격의 위험한 숫자
공급망 공격은 최근 몇 년 동안 엄청나게 급증하여 사이버 환경에서 강력한 위협으로 변모했습니다. 기업이 타사 소프트웨어와 오픈 소스 구성 요소에 점점 더 의존하게 되면서 공급망 공격은 공격자가 널리 사용되는 소프트웨어의 취약점을 악용할 수 있는 실행 가능하고 교활한 벡터로 부상하여 수많은 조직에 동시에 영향을 미치고 있습니다.
급증하는 위협: 성장과 시사점
소프트웨어 공급망 공격의 급증은 단순한 가설이 아니라 놀라운 통계로 뒷받침됩니다. 2019년부터 2022년까지 소프트웨어 공급망 공격은 무려 742% 급증했으며급증했으며 2023년에는 새로운 기록을 세울 것으로 예상됩니다.
타사 소프트웨어 및 오픈 소스 구성 요소에 대한 의존도는 운영 민첩성과 개발 시간 단축에 매우 중요하지만 상당한 위험을 수반합니다. 여러 회사, 여러 애플리케이션에서 외부 코드에 의존하기 때문에 기본 라이브러리에 대한 공격이 발생하면 최근 발생한 WebP 취약점.
타사 소프트웨어에 내재된 위험
타사 소프트웨어의 광범위한 사용은 위험과 과제의 판도라 상자를 열어줍니다. 특히 Gartner에 따르면 조직의 60%가 1,000개 이상의 써드파티와 협력하고 있습니다.와 협력하고 있으며, 이는 공격자에게 수많은 잠재적 진입 지점을 제공합니다.
타사 공급업체 웹사이트의 취약점으로 인해 수백만 계정의 사용자 이름과 비밀번호가 노출된 JP 모건 체이스의 침해 사고와 같은 사례는 이러한 공격의 가시적인 위험과 막대한 영향을 강조합니다.
Log4j의 악명
Log4j 취약점 또는 Log4Shell은 널리 사용되는 오픈 소스 라이브러리의 단일 취약점이 어떻게 글로벌 사이버 보안 위기로 이어질 수 있는지를 보여줍니다. 이 취약점은 직접적인 종속성뿐만 아니라 Maven Central 리포지토리에서 호스팅되는 약 17,000개의 Java 패키지에도 직접 또는 전이 종속성으로 존재했습니다. 광범위한 패치 노력에도 불구하고 많은 인스턴스가 패치되지 않은 상태로 남아 있어 전 세계 조직에 지속적인 위험을 초래하고 있습니다.
종속성 네트워크의 복잡성
소프트웨어 공급망의 종속성은 복잡성과 위험의 추가 계층을 초래합니다. 이러한 종속성에서 비롯된 전이성 취약성은 오픈 소스 라이브러리의 3분의 2에 영향을 미칠 정도로 전례 없는 수준에 도달했습니다.
Log4Shell 사건은 이러한 복잡한 공급망의 출처와 종속성에 대한 이해 부족이 취약성 대응 노력을 심각하게 방해할 수 있으므로 이러한 복잡한 공급망에 대한 가시성과 인식의 중요성을 강조했습니다.
숫자와 기법의 에스컬레이션
에 따르면 소나타입의 보고서의 보고서에 따르면, 악의적인 써드파티 구성 요소와 관련된 문서화된 공급망 공격 건수가 1년 만에 633% 급증하여 88,000건 이상에 달했습니다. 종속성 혼동, 타이포스쿼팅, 브랜드재킹, 악성 코드 삽입, 심지어는 사이버 보안 전문가에게 새로운 도전과 고려 사항을 제시하는 프로테웨어까지 공격 기법이 다양해졌습니다.
종속성 혼란의 수수께끼
의존성 혼동 공격은 2021년 2월에 공개된 이후 특히 주목을 받고 있습니다. 이 기법은 패키지 관리 클라이언트의 행동을 악용하여 내부 리포지토리에 있는 합법적인 패키지 대신 공개 리포지토리의 버전 번호가 더 높은 악성 패키지를 사용하도록 속입니다. 따라서 조직은 이러한 위험을 완화하기 위해 비공개 패키지의 이름을 공개 리포지토리에 등록하거나 고유한 접두사를 사용해야 합니다.
공급망 공격에 대한 방어 강화
취약점을 식별하고 완화하는 것은 공급망 공격에 대한 강력한 방어 전략의 핵심입니다. 업데이트가 있을 때마다 모든 종속성을 검사하고, 그 종속성에 대한 모든 종속성을 일시적으로 체인 아래로 내려보내기를 기대하는 것은 현실적이지 않습니다.
적절한 방어를 보장하기 위해 필요한 이 작업을 지속적으로 수행할 수 있는 리소스가 충분하지 않습니다. 또한 애플리케이션이 지속적으로 버그 수정 패치를 제공하는 것처럼, 보안 문제로 이어질 수 있는 문제를 놓치기 쉽습니다.
한 가지 대안은 이 검사를 대신 수행하는 신뢰할 수 있는 리포지토리에 종속성을 맡기는 것입니다. 다음과 같은 서비스 Java용 SecureChain와 같은 서비스는 Java 라이브러리를 위해 선별되고 업데이트되며 신뢰할 수 있는 종속성 소스를 제공하여 공개 또는 신뢰할 수 없는 소스에서 버그가 있거나 손상된 종속성을 가져올 위험을 줄여줍니다.
공급망 공격의 위험한 수치는 사이버 위협 환경을 냉정하게 보여줍니다. 공격 기법의 다양화 및 정교화로 인해 단순한 예방에서 선제적 탐지 및 완화 전략으로 패러다임 전환이 요구됩니다. 조직은 복잡한 취약성과 종속성의 웹을 탐색하고 급증하는 공급망 공격으로부터 디지털 자산과 운영 무결성을 보호하기 위해 총체적이고 정보에 입각한 적응형 접근 방식을 채택해야 합니다.