전문가칼럼

[전문가기고] 소스코드까지 노리는 사이버공격, 기업이 주의해야 할 점은?

디지털데일리 발행일 2022-04-14 09:57:11
체크포인트 전수홍 지사장

최근 대형 반도체 업체인 엔비디아(NVidia)에 발생한 침해 사건의 배후를 자처한 랜섬웨어 단체 랩서스(Lapsus$)는 이번에 한국의 글로벌 기업 삼성에 침투했으며, 온라인에 민감 데이터 190GB를 공개했다고 주장했다.

주요 기업에 대한 침해는 새로운 일이 아니다. 하지만, 이번 경우에 공격자들은 단순히 자격증명이나 사업 관련 콘텐츠만 탈취한 것이 아니라, 핵심이라 할 수 있는 기업이 독점적으로 가지고 있는 일부 펌웨어의 소스코드를 직접 공략했다.

이러한 소스코드를 보유하고 통제하는 것은 공급망에 거대한 반향을 불러 일으킬 수 있다. 엔비디아와 삼성의 펌웨어 및 하드웨어가 전 세계적으로 분포돼 있기 때문에, 이로 인해 수많은 조직과 머신이 감염되고 피해를 입는 상황으로 이어질 수 있다.

보안 기술을 통해 머신이 보호돼야 하지만, 이후 세부적으로 설명할 시나리오에서는 합법적이고 신뢰할 수 있다고 서명하고 검증한 인증서를 탈취해 멀웨어를 위장함으로써 머신에 침투시킬 수 있다.또한, 전 세계 사이버 보안 환경의 상위 트랜드 중 하나인 공급망 공격은 그 수와 범위가 증가했으며, 국토안보부를 비롯해 미국 정부 부처 등 주요 기관까지 침투했다.

공식 대응에서 엔비디아는 “엔비디아 환경에 랜섬웨어가 배포 됐다거나, 이것이 러시아-우크라이나 분쟁과 관련이 있다는 증거는 갖고 있지 않다. 하지만, 위협 행위자들이 직원들의 비밀번호와 일부 엔비디아의 독점적인 정보를 시스템에서 탈취했으며 이를 온라인으로 유출하기 시작했다는 사실을 인지하고 있다”고 발표했다.

3월 7일 월요일에 삼성은 공식 대응을 통해 다음과 같이 침해 사실을 시인했다. 삼성 담당자는 “특정 내부 기업 데이터와 관련해 보안 침해가 발생했다”며 “초기 분석에 따르면 침해에는 갤럭시 디바이스의 운영과 관련된 일부 소스코드가 관련이 있지만, 고객이나 직원의 개인 정보는 포함되지 않았다. 현재로서는 사업이나 고객에 영향이 있을 것으로 예상하지 않는다”고 말했다.

다만 공식 공지사항을 통해 엔비디아는 IT 리소스에 영향을 준 “사이버 보안 인시던트”에 대해 인지하고 있음을 인정했다. 랩서스는 침해의 배후를 자처하고 나섰으며, 엔비디아에 라이트 헤시레이트(LHR, lite hash rate) 기능을 삭제할 것을 요구했다.

2021년 초에 암호화폐 채굴로 인해 물량이 소진됨에 따라 LHR은 RTX 30 시리즈 그래픽카드에서 이더리움 채굴 기능을 제한하고자 만들어졌다. 이 그룹은 또한 macOS, 윈도, 리눅스 디바이스에 대하여 GPU 드라이버를 오픈소스화 할 것을 엔비디아에 요구했다.

이러한 요구사항을 따르지 않을 경우, 랩서스는 드라이버 및 펌웨어에 사용되는 엔비디아의 소스코드를 공개하겠다고 위협했다. 하지만, 이 단체는 여기에서 멈추지 않았다. 한국의 대형 기술 기업 삼성으로부터 탈취한 거의 190GB의 민감 데이터를 3월 5일에 공개했다.

이 그룹은 우선 삼성의 소프트웨어에 대한 C/C++ 인스트럭션 스냅샷을 공개했으며, 뒤이어 향후 유출할 내용에 대한 설명도 발표했다. 그 시작으로 공개한 내용에는 삼성의 기밀 소스코드가 포함됐다.

엔비디아의 유출에는 엔비디아 개발자들이 드라이버와 실행파일을 서명하기 위해 사용하는 코드 서명 인증서 두 가지의 탈취도 포함돼 있었다. 다른 자료에 따르면, 공격자들은 멀웨어가 마치 믿을 수 있는 소프트웨어 인 것처럼 위장해 윈도의 검사를 통과하고, 로딩해 실행이 될 수 있도록 서명하기 위해 이 코드 서명 인증서를 사용하기 시작했다.

체크포인트 리서치(CPR) 팀은 이러한 사례를 통해 발생할 수 있는 잠재적 추가 위협을 찾기 위해 상황을 지속적으로 주시하고 있다.

하지만 계속 보호를 받기 위해 기업들은 상기 언급한 탈취 인증서를 통하여 기업 네트워크로 멀웨어가 침투하는 것을 우려해야 한다. 안타깝게도 시중의 일부 보안 솔루션은 탈취된 인증서가 이미 취소됐음에도 불구하고 자동으로 승인하는 것으로 보여, 여전히 조직들을 공급망 위협에 노출시키고 있다.

아마 주된 이유는 이런 솔루션들이 인증서를 생성한 벤더에 대하여 신뢰하는 것을 기본값으로 하기 때문일 것이다. 전체 IT 인프라의 안전을 유지하기 위해 체크포인트는 고객의 네트워크 보안 게이트웨이는 물론 엔드포인트 디바이스 보안 솔루션을 탈취된 인증서로부터 적절하게 보호할 수 있도록 업데이트 했는지 확인할 것을 권고한다.

또한 체크포인트는 공식 벤더 웹사이트에서 소프트웨어 업데이트를 다운로드 받고, 전체 직원들도 이와 같이 실행하도록 최신 정보를 전달할 것을 권고하고 있다.

체크포인트 고객에 대한 보호는 유지체크포인트의 고객들은 탈취된 인증서로 인해 발생할 수 있는 모든 공급망 공격으로부터 선제적으로 보호받을 수 있다. 앞서 언급한 바와 같이, 안타깝게도 시중의 일부 보안 솔루션은 탈취된 인증서가 이미 취소됐음에도 불구하고 자동으로 승인하는 것으로 보여, 조직을 공급망 위협에 노출시키고 있다.
쓰렛클라우드는 전 세계 수 억 개의 센서에서 수집하여 세계적으로 공유되는 위협 인텔리전트를 60개 이상의 위협 방지 및 AI 기술과 통합하며, 체크포인트 리서치의 통찰을 통해 강화하고 있다. 제품들은 이렇게 탈취된 인증서를 탐지하여 침투하는 것을 차단하기 위해 혁신적인 제로데이 샌드박스 기술인 체크포인트 쓰렛클라우드의 위협 에뮬레이션 서비스를 활용한다. 프로세서는 완전 자동화 돼 있으며, 사용자의 행동을 필요로 하지 않는다.
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
체크포인트 전수홍 지사장
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스