사이버 보안 침해라는 주제가 등장하면 대부분의 대중의 관심은 소프트웨어 엔지니어가 아닌 해커에게 집중됩니다. 그러나 역사를 살펴보면 가장 파괴적인 침해는 우리가 가장 민감한 시스템을 보호하기 위해 신뢰하는 바로 그 코드 내부에서 발생하는 경우가 많습니다. 불편한 진실은 바로 이것입니다. 소스 코드를 볼 수 없고, 코드를 만든 사람들의 무결성과 출처를 확인할 수 없다면 백도어가 없다고 확신할 수 없습니다.
폐쇄형 소스 소프트웨어는 본질적으로 신뢰를 요구합니다. 공급업체뿐만 아니라 코드베이스에 기여한 모든 개인에 대한 신뢰도 필요합니다. 국방, 정보, 금융 및 기타 규제 산업 분야에서는 맹목적인 신뢰는 더 이상 용납될 수 없습니다. 우리에게는 강력한 정책이 필요합니다. 핵심 인프라에 판매하는 모든 폐쇄형 소스 소프트웨어 공급업체는 필수 개발자 중 누구도 외국 정보 기관이나 방위 기관에서 일한 적이 없으며, 특히 사이버 보안 분야에서 숨겨진 취약점을 이식할 수 있는 일을 한 적이 없음을 증명합니다.
이건 편집증이 아니라 패턴 인식입니다. 영향력이 큰 사이버 스파이 활동의 역사는 정교한 행위자들이 피해가 발생하기 전까지는 사실상 감지할 수 없는 방식으로 백도어를 설치한 사례로 점철되어 있습니다.
-------
사례 연구 1: NetScreen/ScreenOS 백도어(Juniper Networks)
2015년 말, 주니퍼 네트웍스는 미국 정부 네트워크, 방산업체, 포춘 500대 기업 보안을 담당하는 소프트웨어인 ScreenOS 방화벽 운영 체제에 무단 코드가 삽입되었음을 공개했습니다. 이는 단순한 버그가 아니었습니다. Dual_EC_DRBG 난수 생성기에 외과적으로 이식된 수정 사항으로, 공격자가 VPN 트래픽을 마음대로 해독할 수 있도록 허용했습니다.
보안 연구원들은 나중에 백도어가 고도로 유능한 정보기관에 의해 의도적으로 추가되었다는 것이 가장 타당한 설명이라고 결론지었습니다. 해당 코드는 비공개 소스였으며, 그 침해는 수년간 탐지되지 않았습니다.
주요 테이크 아웃 : 폐쇄형 소스 코드를 통해 유능한 내부자(또는 전직 내부자)는 고객이 사실상 감지할 수 없는 핵심 암호화 기능을 변경할 수 있었습니다.
-------
사례 연구 2: Solarigate/SolarWinds Orion 손상
2020년 SolarWinds 공급망 공격("솔라리게이트"로 불림)은 은밀성의 걸작이었습니다. 공격자들은 Orion 네트워크 모니터링 플랫폼의 빌드 시스템을 침해하여 디지털 서명되고 합법적인 소프트웨어 업데이트의 일부로 배포된 백도어를 삽입했습니다. 미국 국토안보부, 여러 연방 기관, 그리고 국방 계약업체를 포함한 수천 명의 고객이 이 백도어를 설치했습니다.
이는 단순한 스크립트 키디 작전이 아니었습니다. 정상적인 소프트웨어 작동 방식에 섞이도록 설계된, 자원이 풍부하고 국가가 지원하는 공격이었습니다. Orion 코드베이스는 폐쇄되었고, 빌드 프로세스는 불투명했으며, 삽입 지점은 신뢰할 수 있는 내부자에 의해 통제되었습니다.
주요 테이크 아웃 : 공개 감사가 없다면 폐쇄 소스 소프트웨어의 무결성은 전적으로 개발 및 빌드 체인에 참여하는 사람들의 신뢰성과 배경에 달려 있습니다.
-------
사례 연구 3: JPMorgan Chase 루트킷 사건
2014년 JPMorgan Chase는 미국 은행 역사상 최대 규모의 침해 사고 중 하나를 겪었으며, 83만 명이 넘는 고객의 개인 정보가 유출되었습니다. 조사 결과, 공격자들은 루트킷 수준의 접근 권한을 활용하여 제어권을 유지하고 탐지를 회피하는 등 고도의 지속성을 확보한 것으로 드러났습니다. 공격에는 여러 단계와 행위자가 관여했지만, 공격자가 저수준 후크를 심어 놓으면 데이터를 조작하고, 거래를 가로채고, 표준 보안 제어를 우회할 수 있다는 점이 드러났습니다.
JPMorgan은 루트킷이 공급망 침투에서 비롯되었는지 아니면 내부자 침해에서 비롯되었는지 공개적으로 확인하지 않았지만, 이 사건은 은행 인프라의 폐쇄형 소스 구성 요소가 은밀하고 지속적인 수정의 주요 대상이라는 점을 강조합니다.
주요 테이크 아웃 : 금융 및 규제 산업에서 폐쇄형 소스 모듈에 숨겨진 단 하나의 백도어만으로도 보안 방어에 투자한 수십억 달러와 수년간의 규정 준수 노력이 훼손될 수 있습니다.
-------
증거 블록: 중요 시스템의 과거 폐쇄형 백도어 사고
밝혀진 패턴:
수년간의 탐지 지연 고급 SOC가 있는 조직에서도 흔히 발생합니다.
환경 구축 및 서버 업데이트 국가 행위자들의 주요 개입 지점입니다.
폐쇄형 소스 코드는 악의적인 변경 사항을 가립니다. 오픈소스에 비해 훨씬 더 효과적입니다.
고부가가치 국가안보 및 금융 시스템 지속적으로 타겟팅됩니다.
-------
정책 격차: 개발자 출처는 국가 안보 문제입니다.
우리는 암호화에 대한 엄격한 수출 통제, 적대국으로부터의 통신 장비 수입 제한, 그리고 하드웨어 공급망에 대한 인증 제도를 갖추고 있습니다. 그러나 우리는 동등한 보호 장치가 없음 중요 인프라의 폐쇄형 소스 코드를 작성하고 컴파일하는 사람이 공격적인 사이버 작전으로 알려진 외국 정보 기관에서 훈련을 받거나 일한 적이 없는지 확인합니다.
이스라엘의 8200부대, 러시아의 GRU 및 SVR 사이버 부대, 중국의 PLA 61398부대, 그리고 전 세계의 다른 공격적 사이버 부대들은 개방형 및 폐쇄형 시스템 모두에 백도어를 개발하고 배포한 풍부한 이력을 보유하고 있습니다. 만약 공급업체가 이러한 배경을 가진 개발자를 고용하고 위험을 공개하거나 완화하지 않는다면, 고객은 탐지 불가능한 취약점을 삽입하도록 명시적으로 훈련받은 사람이 작성한 코드를 신뢰할 가능성이 있다는 것을 알 방법이 없습니다.
-------
대담한 주장: 인증 없이는 배포도 없다
국방, 정보 및 규제 분야의 중요 인프라는 공급업체가 구속력 있는 인증을 제공하지 않는 한 폐쇄형 소스 소프트웨어 배포를 거부합니다. 그 :
본 제품의 코드는 외국 정보 기관이나 방위 기관에서 사이버 보안, 신호 정보, 네트워크 활용 업무를 담당한 사람이 개발, 편집 또는 검토하지 않았습니다.
공급업체는 폐쇄 소스 코드베이스에 기여한 모든 사람에 대한 지속적인 배경 조사를 실시합니다.
이 소프트웨어는 정부 승인을 받은 독립적인 미국 보안 연구소에서 주기적인 바이너리 수준 무결성 검사를 거칩니다.
이것은 외국인 혐오증이나 보호무역주의에 관한 것이 아닙니다. 운영상의 현실에 관한 것입니다. 주니퍼, 솔라윈즈, 그리고 수많은 다른 기업들에서 발생한 백도어 사건들은 개발 체인이 국가 안보 공격의 표적이 될 수 있음을 보여주었습니다. 우리는 이미 중요 사이트와 하드웨어 공급망에 대한 물리적 접근을 차단하고 있습니다. 이제 이러한 시스템을 운영하는 코드를 작성하고 컴파일하는 사람들에게도 동일한 엄격함을 적용해야 할 때입니다.
-------
결론: 신뢰하되 출처를 요구하라
현대 사이버 전장에서는 방어와 공격의 경계가 모호하며, 세계 최고의 엔지니어 중 다수가 두 가지 역할을 모두 수행해 왔습니다. 규제되지 않은 일반 소비자용 앱의 경우라면 감수할 만한 위험일 수 있습니다. 하지만 핵 지휘 체계, 방위 위성, 금융 청산소, 항공 교통 관제 등을 제어하는 소프트웨어의 경우라면 어떨까요? 그렇지 않습니다.
폐쇄형 소스 소프트웨어는 블랙박스와 같습니다. 그리고 역사는 블랙박스가 매우 날카로운 칼날을 숨길 수 있음을 보여주었습니다. 누가 코드를 작성했는지 검증 가능한 확신을 요구하기 전까지는 모든 배포는 맹목적인 믿음에 불과합니다. 중요 인프라에 있어서 맹목적인 믿음은 보안 전략이 될 수 없습니다.
