편집 : 2023.11.29 수 09:58
뉴스
“작년 OSS에 16만개 가까운 악성 패키지 발견”체크막스, 은행권 노린 공격 탐지 및 제거 성공 발표
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2023.11.20  09:19:24
트위터 페이스북 미투데이 요즘 네이버 구글 msn

오픈소스를 활용한 소프트웨어 개발이 90% 가량에 이르고, 월 평균 70만개 이상의 오픈소스 기반 패키지가 배포되면서, 소프트웨어 공급망 보안이 위협을 받고 있다.

특히 최근에는 은행권에서 배포한 오픈소스패키지에 대한 공격도 있었던 것으로 파악돼 소프트웨어 공급망 보안에 대한 각별한 주의가 필요한 것으로 나타나고 있다.

실제로, 체크막스(Checkmarx) 랩에서는 지난 한 해 15만 878개의 악성 패키지를 발견하기도 했다.

이는 같은 해 보고된 CVE 취약점 개수 2만 5226개의 약 6배에 해당하는 수치다.

20일 체크막스코리아(지사장 김성운) 박찬수 실장은 이같은 소프트웨어 공급망 공격에 대비하기 위해서는 악성 패키지가 SDLC(Software Development Life Cycle)에 유입되지 않도록 방지해야 하며, 이를 위해 엔터프라이즈 네트워크의 아티팩트 서버에 체크막스의 ‘체크막스 공급망 위협 지능형 API(Checkmarx Supply Chain Threat Intelligence API)’ 적용을 권장했다.

   
▲ 소프트웨어 공급망 보안 위협동향에 대해 발표하고 있는 체크막스 코리아 박찬수 실장.(출처 : 체크막스 코리아 제공)

체크막스코리아에 따르면, 오픈소스가 소프트웨어 개발의 90% 이상을 차지할 정도로 대세가 되면서 이를 노린 공격도 거세지고 있는 상황.

특히 자바스크립트 프로그래밍 언어를 위한 패키지 관리자 ‘npm’에서는 지난해 월평균 70만건 이상의 소프트웨어 패키지가 배포됐다. 이는 2017년 10만여건보다 7배 가까이 늘어난 수치다.

이처럼 오픈소스 기반의 패키지 배포가 늘어나면서 이를 노린 악성 행위, 보안 위협 등도 급증하는 추세를 보이고 있다.

오픈소스소프트웨어(OSS)의 경우, 무단 액세스 권한을 얻거나 중요한 데이터를 훔치기 위해 취약한 종속성을 악용하는 경우가 많으며 시스템을 손상시키기 위한 공격 벡터로 악용되기도 한다.

OSS의 위험 허용 범위도 빠르게 변화하고 있다.

소프트웨어 공급망 보안은 초기 개발부터 최종 사용자에게 전달되는 소프트웨어 생성 및 배포의 전체 프로세스를 보호하는 데 중점을 두는데, 소프트웨어 공급망을 공격하는 경우나 공급망의 취약점을 노리는 사례가 많은 상황이다.

예를 들어, 솔라윈즈(SolarWinds)와 같은 악의적인 행위자가 공급업체의 배포판을 활용해 더 큰 공격을 위해 시스템에 침해하는 행위나 로그포쉘(Log4Shell)의 예와 같이 복잡한 애플리케이션의 생성에서의 우발적인 보안 결함 등이 대표적이다.

특히 2021년부터는 금융권을 노린 공격도 증가추세인 것으로 나타났다.

체크막스코리아에 따르면, 2023년에만도 체크막스의 위협 탐지팀이 은행 산업에 대한 여러 표적 공격을 식별해 이를 해당 은행에 통보한 것으로 알려졌다.

체크막스코리아 박찬수 실장은 앞으로도 금융권에 대한 소프트웨어 공급망 공격 추세가 계속될 것이라고 예상했다.

박 실장은 “소프트웨어 공급망 공격자와의 싸움은 갈수록 지능화할 것으로 보이며, 이같은 악성 패키지가 SDLC에 유입되지 않도록 방지하는 것이 무엇보다 중요하다“고 강조했다.

<김동기 기자>kdk@bikorea.net

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
100억대 신한은행 ‘BPR 10 플러스’ 개편 향방은…
2
<초점>KB금융그룹, 양종희號 출범…IT 과제는
3
“랜섬웨어 대응 키는, 네크워크 세분화”
4
LG CNS, ‘2024년 정기임원인사’ 단행
5
네이버 D2SF, ‘딥오토’에 신규 투자
6
“국내 소비 기반 서버 5년간 23.5% 성장” 전망
7
에퀴닉스, 국내 두 번째 IBX ‘SL4’ 개소
8
팔로알토 네트웍스, 한국지사 확장 이전
9
우리은행 이사회, “IT 개발·운영 직접 수행 영업 일부 양수 결의”
10
행복한 노후생활 가장 중요요소, ‘건강’·‘경제력’
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 김동기
등록번호 : 서울 아01269 | 등록일자 2010.06.18, 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 김동기
청소년보호책임자 : 김동기
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net