공급망 공격은 조직을 직접 공격하기보다는 조직의 공급망에서 덜 안전한 요소를 표적으로 삼는 사이버 공격의 한 유형입니다.
목차
공급망 공격
최근 몇 년 동안 공급망 공격은 전 세계적으로 피해를 입혔습니다. 공급망 공격은 조직 간의 신뢰할 수 있는 관계를 표적으로 하는 사이버 공격의 한 유형으로, 침해된 하나의 파트너를 다른 파트너에 침투하기 위한 스테핑 스톤으로 사용합니다. 목표는 데이터, 소프트웨어 또는 네트워크 인프라에 액세스할 수 있는 타사 공급업체, 공급업체 또는 파트너를 침해하여 조직의 네트워크 또는 시스템에 침투하는 것입니다.
공급망 공격의 특징은 공격자가 먼저 타사 공급업체와 같이 조직의 공급망에서 덜 안전한 부분을 손상시켜 시스템에 간접적으로 침투할 수 있다는 것입니다. 이러한 제3자는 일상적인 운영에 내장되어 있기 때문에 공격자는 이미 심각한 피해가 발생할 때까지 더 쉽게 알아차리지 못할 수 있습니다.
공급망 공격의 주요 특성
간접적 접근
공격자는 표적 조직을 직접 공격하는 대신 소프트웨어 공급자, 하드웨어 공급자 또는 서비스 계약자와 같은 신뢰할 수 있는 제3자를 침해합니다. 그러면 이 제3자는 악성 페이로드를 최종 대상에 전달하기 위한 통로가 됩니다.
복잡성 및 확장성
공급망 공격은 여러 단계를 수반하고 많은 조직에 영향을 미치므로 복잡할 수 있습니다. 공격자는 공급망의 여러 단계에 악성 코드 또는 하드웨어를 삽입하여 탐지를 어렵게 할 수 있습니다.
신뢰 악용
이러한 공격은 조직과 공급업체 간의 신뢰 관계를 악용합니다. 타사 벤더는 조직의 시스템 또는 민감한 데이터에 대한 액세스 권한이 있는 경우가 많기 때문에 공격자의 매력적인 표적이 됩니다.
광범위한 영향
공급망 공격의 영향은 중요할 수 있으며, 주요 표적뿐만 아니라 침해된 제3자에 의존하는 수천 개의 다른 조직에도 영향을 미칠 수 있습니다.
공급망 공격의 유형
공급망 공격은 출처에 따라 세 가지 유형으로 분류할 수 있습니다.
소프트웨어 공급망 공격
소프트웨어 공급망 공격은 소프트웨어 자체 또는 업데이트 프로그램에 악성 코드를 삽입하기 위해 소프트웨어를 개발하거나 제공하는 데 사용되는 프로세스를 손상시키는 것을 포함합니다. 이를 통해 공격자는 합법적으로 보이는 소프트웨어를 통해 표적 조직에 침투할 수 있습니다.
일반적인 공격 벡터에는 오픈소스 코드, 시스템 관리 도구 및 일반적으로 사용되는 애플리케이션이 포함됩니다. 회사를 직접 침해하는 대신, 공격자는 일반적으로 소프트웨어를 개발하거나 다운로드를 호스팅하는 신뢰할 수 있는 제3자 소프트웨어 제공업체의 시스템을 침해하는 것으로 시작합니다. 그곳에서 업데이트 서버 또는 배포 채널을 활용하여 의심하지 않는 사용자에게 손상된 버전을 제공합니다.
침해된 소프트웨어가 널리 사용되는 경우 공격자는 많은 조직에 영향을 미치는 대규모의 고영향 공격을 동시에 유발할 수 있습니다.
서비스 공급망 공격
서비스 공급망 공격은 관리형 서비스 공급자(MSP)와 같은 서비스 공급자를 대상으로 하며 신뢰할 수 있는 액세스를 사용하여 여러 고객 환경에 멀웨어를 배포합니다.
잘 알려진 예는 원격 IT 관리 서비스인 Kaseya VSA와 관련된 2021 랜섬웨어 공격입니다. 공격자는 Kaseya VSA를 사용하여 MSP를 침해한 다음 랜섬웨어를 다운스트림 고객 중 많은 사람에게 전파했습니다. MSP는 클라이언트 네트워크를 관리하고 운영해야 하므로 공격자는 이를 멀웨어와 같은 랜섬웨어의 배포 지점으로 사용할 수 있습니다.
이 경우 공격은 MSP 서비스의 특성을 악용하여 Kaseya VSA를 사용하는 MSP와 MSP에 의존한 클라이언트 모두에 영향을 미쳤습니다. 보고서에 따르면 최대 1,500개의 기업이 랜섬웨어 공격의 영향을 받은 것으로 추정되었기 때문에 대규모 영향은 상당했습니다.
비즈니스 공급망 공격
비즈니스 공급망 공격은 파트너, 벤더, 물류 제공업체 및 공급업체로 구성된 광범위한 에코시스템을 표적으로 삼으며, 이러한 관계를 사용하여 주요 대상 조직에 침투합니다.
이 방법은 매우 일반화되어 이제 조직에 대한 액세스 권한을 얻기 위한 표준 전술로 간주될 수 있습니다.
트렌드마이크로는 Earth Hundun(BlackTech라고도 함) 및 Earth Tengshe(APT10에 연결됨)와 같은 사이버 공격 그룹이 해외 지사를 먼저 침해한 다음 해당 액세스를 사용하여 실제 의도한 표적인 주요 국내 작전에 침투하는 것을 지속적으로 관찰했습니다.
공급망 공격의 범주
- 손상된 소프트웨어 업데이트: 공격자는 악성 코드를 많은 사용자에게 배포되는 소프트웨어 업데이트에 삽입합니다.
- 손상된 제3자 소프트웨어 라이브러리:적법한 소프트웨어 제품에 통합된 제3자 라이브러리 또는 종속성에 악성 코드 삽입.
- 손상된 하드웨어 또는 펌웨어:제조 또는 배포 프로세스 중에 악성 하드웨어 구성 요소 또는 펌웨어를 제품에 삽입
- 개발자 도구 하이재킹:통합 개발 환경(IDE) 또는 지속적 통합/지속적 배포(CI/CD) 파이프라인과 같이 개발자가 사용하는 도구를 침해합니다.
- 손상된 소프트웨어 종속성: 널리 사용되는 합법적인 소프트웨어 종속성에 악성 코드 삽입
- 악용된 프로토콜을 통한 데이터 유출:SMB, TLS, SSH와 같은 프로토콜의 취약점을 탐색하거나 SQL 주입과 같은 방법을 통해 데이터베이스를 직접 표적으로 삼아 데이터를 유출합니다.
- 오픈 소스 프로젝트 타겟팅:광범위하게 사용되는 오픈 소스 프로젝트를 공격하고 많은 다운스트림 프로젝트에 영향을 줄 수 있는 악성 코드를 삽입합니다.
공급망 공격의 예
노드 패키지 관리자(2025)
2025년 9월 15일, 노드 패키지 관리자(NPM) 리포지토리는 지속적인 공급망 공격을 경험했으며, 공격자는 NPM 패키지 유지 관리자의 계정을 손상시키기 위해 고도로 표적화된 피싱 캠페인을 실행했습니다. 공격자는 권한 있는 액세스를 통해 널리 사용되는 JavaScript 패키지에 악성 코드를 삽입하여 전체 소프트웨어 에코시스템을 위협합니다.
리소스: NPM 공급망 공격
RockYou2024 (2024)
해킹 포럼에 약 100억 개의 이전에 침해된 자격 증명이 컴파일되고 게시된 “RockYou2024” 암호 유출은 여러 플랫폼 및 서비스에서 침해된 자격 증명의 집계, 재사용 및 공개 노출로 인한 중대한 공급망 위험을 강조합니다.
대형 언어 모델(LLM) 및 공용 챗봇(2024)
LLM이 제공하는 공개 챗봇은 상호 작용 중에 공유되는 민감한 내부 정보를 실수로 노출시켜 이러한 AI 서비스에 대한 신뢰 회사를 악용할 수 있으며, 이는 학습 및 상호 작용 프로세스를 통해 의도치 않게 기밀 데이터를 유출할 수 있는 외부 AI 플랫폼에 의존할 때의 위험을 강조합니다.
미국 국가 공개 데이터(2024)
이 침해는 자매 자산인 RecordsCheck의 취약점에 의해 가능해졌으며, 이를 통해 공격자는 관련 서비스 간의 신뢰 관계를 악용하여 민감한 데이터에 액세스할 수 있었습니다.
리소스:국가 공공 데이터 침해: 1억 3,400만 개의 고유한 이메일이 유출되었으며 회사가 사고를 인정합니다.
PHP Git 서버 침해(2021)
공격자들은 PHP의 Git 서버를 침해하여 인기 있는 웹 스크립팅 언어의 소스 코드에 백도어를 삽입하려고 시도했습니다.
SolarWinds 공격(2020)
공격자는 SolarWinds의 Orion 소프트웨어 업데이트 메커니즘에 침투하여 정부 기관 및 주요 기업을 포함한 18,000개 이상의 고객에게 악성 업데이트를 제공했습니다.
Trend Vision One™ 플랫폼
공격을 더 빠르게 차단하고 사이버 위험을 통제하는 것은 단일 플랫폼에서 시작됩니다. 위협 연구 및 인텔리전스를 선도하는 AI로 구동되는 포괄적인 예방, 탐지 및 대응 기능을 사용하여 보안을 전체적으로 관리합니다.
Trend Vision One은 다양한 하이브리드 IT 환경을 지원하고 워크플로우를 자동화 및 조율하며 전문적인 사이버 보안 서비스를 제공하므로 보안 운영을 단순화하고 통합할 수 있습니다.
Jon Clay는 29년 이상 사이버 보안 분야에서 일해 왔습니다. Jon은 업계 경험을 활용하여 트렌드마이크로가 외부에서 발표한 모든 위협 연구 및 인텔리전스에 대한 인사이트를 교육하고 공유합니다.