공급망 공격(Supply Chain Attack)

개요

공급망 공격(Supply Chain Attack)은 해커가 기업이나 조직의 직접적인 보안망이 아닌, 그 조직과 연결된 협력사, IT 솔루션, 개발 라이브러리, 서비스 공급자 등을 통해 침투하는 사이버 공격 방식입니다. 한 번의 침투로 다수의 하위 시스템을 감염시킬 수 있어, 그 피해 범위와 위협 강도가 매우 크며, 최근 SolarWinds, Kaseya, MOVEit 등 다양한 글로벌 사건으로 주목받고 있습니다.

---

1. 개념 및 정의

항목	설명
정의	공급망 내의 신뢰된 외부 파트너나 소프트웨어를 악용하여 본래의 타깃 조직에 침투하는 공격 방식
대상	소프트웨어 라이브러리, 개발자 도구, 제3자 API, 하드웨어 제조사, 물류업체 등
목적	감지 회피, 대규모 감염, 신뢰 체계 악용

---

2. 주요 공격 방식

방식	설명	사례
소프트웨어 업데이트 감염	정상 업데이트에 악성코드를 삽입	SolarWinds Orion (2020)
오픈소스 패키지 변조	인기 라이브러리에 악성 스크립트 삽입	event-stream, UAParser.js 공격
CI/CD 파이프라인 침해	빌드 시스템 및 자동 배포 흐름 감염	CircleCI 해킹 시도, GitHub Actions 오염
하드웨어 펌웨어 조작	제조 단계에서 악성 코드 주입	특정 칩셋 공급망 이슈로 인한 백도어
서비스 API 연계 공격	파트너사 API를 통한 권한 상승 또는 침투	Kaseya VSA 통한 MSP 감염 사례

---

3. 공급망 공격의 특징

항목	특징
신뢰 체계 공격	정상으로 보이는 요소를 활용하므로 탐지 어려움
공격 범위 확장성	한 번의 감염으로 수십~수천 개 조직에 확산 가능
다계층 침투	개발 → 배포 → 고객사까지 확산되는 공격 구조
장기 잠복형	장기간 백도어로 은닉 후 정보 유출 진행 가능

---

4. 국내외 사례

사례	내용
SolarWinds (미국)	Orion SW 업데이트에 백도어 삽입, 18,000개 기업·기관 감염
Kaseya (미국)	원격 관리 SW 취약점 이용, 수백 개 MSP 및 클라이언트 감염
AhnLab V3 악성코드 유포	패치 관리 시스템을 악용한 악성코드 배포 시도 사례
한국 제조업 대상 오픈소스 하이재킹	오픈소스 모듈에 백도어 삽입 후 제조사 대상 공급

---

5. 대응 전략

전략	설명
SBOM(소프트웨어 자재 명세서)	사용 중인 소프트웨어 구성요소 목록을 문서화하고 지속 관리
제로트러스트 모델 적용	공급자도 항상 검증, 권한 최소화 운영 원칙 적용
공급사 보안 평가	계약 시 보안 수준을 체크리스트로 평가 및 인증 요구
코드 서명 및 무결성 검증	배포 파일의 무결성과 정품 여부 확인
지속적인 모니터링 및 감사	공급망 전 구간의 로그 수집 및 위협 탐지 적용

---

6. 기술 도구 및 표준

도구/표준	설명
SBOM 도구	CycloneDX, SPDX, OWASP Dependency-Track
코드 서명 시스템	Microsoft SignTool, GPG, Sigstore (Fulcio, Cosign)
SCA (구성요소 분석)	Snyk, Black Duck, WhiteSource, Sonatype
보안 프레임워크	NIST SP 800-161, ISO/IEC 27036, CIS Controls V8

---

7. 결론

공급망 공격은 사이버 보안의 전장을 ‘내부’에서 ‘외부 연결점’으로 확장시키고 있습니다. 방화벽과 안티바이러스 중심의 기존 전략만으로는 대응이 불가능하며, 신뢰된 파트너조차 지속적으로 검증하고, 코드와 인프라의 투명성을 확보하는 것이 핵심입니다. 보안은 이제 ‘공급망 전체의 협력’으로 진화하고 있습니다.