사이버 보안 침해에 대한 이야기가 나오면 대부분의 대중의 관심은 소프트웨어 엔지니어가 아닌 해커에게 집중됩니다. 하지만 역사적으로 볼 때 가장 치명적인 침해는 우리가 가장 민감한 시스템을 보호한다고 신뢰하는 바로 그 코드 내부에서 발생하는 경우가 많습니다. 불편한 진실은 소스 코드를 볼 수 없고 코드를 만든 사람의 무결성과 출처를 확인할 수 없다면 백도어가 없는지 확신할 수 없다는 것입니다.
오픈 소스 소프트웨어는 그 특성상 공급업체뿐만 아니라 코드베이스에 기여한 모든 개인에 대한 신뢰가 필요합니다. 국방, 정보, 금융 및 기타 규제 산업과 같은 분야에서는 더 이상 맹목적인 신뢰가 허용되지 않습니다. 중요한 인프라에 판매되는 모든 비공개 소스 소프트웨어 공급업체는 다음과 같은 엄격한 정책이 필요합니다 필수 개발자가 외국 정보기관이나 국방부, 특히 사이버 보안 분야에서 일한 적이 없어 숨겨진 취약점을 심어줄 수 있다는 사실을 증명해야 합니다.
이것은 편집증이 아니라 패턴 인식입니다. 영향력이 큰 사이버 스파이 활동의 역사에는 정교한 공격자들이 피해가 발생하기 전까지는 거의 탐지할 수 없는 방식으로 백도어를 도입한 사례들이 산재해 있습니다.
사례 연구 1: NetScreen/ScreenOS 백도어(주니퍼 네트웍스)
2015년 말, 주니퍼 네트웍스는 미국 정부 네트워크, 방위 계약업체, 포춘 500대 기업의 보안을 담당하는 소프트웨어인 ScreenOS 방화벽 운영 체제에 무단 코드가 삽입된 사실을 밝혀냈습니다. 이것은 단순한 버그가 아니었습니다. Dual_EC_DRBG 난수 생성기를 외과적으로 수정하여 공격자가 VPN 트래픽을 마음대로 해독할 수 있는 기능을 부여한 것입니다.
보안 연구원들은 나중에 가장 그럴듯한 설명은 고도로 유능한 정보 기관이 의도적으로 백도어를 추가했다는 결론을 내렸습니다. 이 코드는 비공개 소스였으며, 수년 동안 유출이 감지되지 않았습니다.
주요 요점: 비공개 소스 코드는 잘 배치된 내부자(또는 전직 내부자)가 핵심 암호화 기능을 변경하여 고객이 탐지하는 것이 사실상 불가능하도록 만들 수 있습니다.
사례 연구 2: 솔라게이트/솔라윈즈 오리온 절충안
"솔라리게이트"라고 불리는 2020년 솔라윈즈 공급망 공격은 은밀함의 극치였습니다. 공격자들은 오리온 네트워크 모니터링 플랫폼의 빌드 시스템을 손상시켜 합법적인 소프트웨어 업데이트의 일부로 디지털 서명 및 배포된 백도어를 삽입했습니다. 미국 국토안보부, 여러 연방 기관 및 방위 계약업체를 포함한 수천 명의 고객이 이 백도어를 설치했습니다.
이 공격은 단순한 스크립트 조작이 아니라 정상적인 소프트웨어 동작에 섞여 들어가도록 고안된 고도의 자원과 국가의 후원을 받은 공격이었습니다. 오리온 코드베이스는 폐쇄되어 있었고, 빌드 프로세스는 불투명했으며, 신뢰할 수 있는 내부자에 의해 삽입 지점이 제어되었습니다.
주요 요점: 공개 감사가 없는 경우, 비공개 소스 소프트웨어의 무결성은 전적으로 개발 및 빌드 체인에 속한 사람들의 신뢰성과 배경에 달려 있습니다.
사례 연구 3: JP모건 체이스 루트킷 사건
2014년 JP모건 체이스는 미국 은행 역사상 가장 큰 규모의 개인정보 유출 사고를 겪으며 8,300만 명 이상의 고객 데이터를 도난당했습니다. 조사 결과 공격자들은 루트킷 수준의 액세스를 활용하여 제어권을 유지하고 탐지를 회피하는 등 매우 높은 수준의 지속성을 달성한 것으로 밝혀졌습니다. 공격에는 여러 단계와 행위자가 관여했지만, 공격자가 저수준 후크를 심으면 데이터를 조작하고 거래를 가로채며 표준 보안 제어를 우회할 수 있다는 점을 강조했습니다.
JP모건은 루트킷의 출처가 공급망 침입인지 내부자 침해인지 공개적으로 확인하지 않았지만, 이 사건은 은행 인프라의 폐쇄형 소스 구성 요소가 은밀하고 지속적인 수정의 주요 표적이라는 점을 강조합니다.
주요 요점: 금융 및 규제 산업에서는 비공개 소스 모듈에 숨겨진 백도어 하나로 인해 보안 방어에 투자한 수십억 달러와 수년간의 규정 준수 작업이 무력화될 수 있습니다.
패턴 공개:
다년간의 탐지 지연 는 고급 SOC를 갖춘 조직에서도 흔히 볼 수 있습니다.
환경 구축 및 서버 업데이트 는 국가 행위자의 주요 삽입 지점입니다.
비공개 소스 코드가 악의적인 변경 사항을 가려줍니다 오픈소스보다 훨씬 더 효과적으로 사용할 수 있습니다.
고가치 국가 안보 및 금융 시스템 를 일관되게 타겟팅합니다.
정책 격차: 개발자 출신은 국가 안보 문제입니다
우리는 암호화에 대한 엄격한 수출 통제, 적대국으로부터의 통신 장비 수입 제한, 하드웨어 공급망에 대한 인증 제도를 시행하고 있습니다. 하지만 동등한 안전 장치 없음 중요 인프라에 대한 비공개 소스 코드를 작성하고 컴파일하는 사람이 공격적인 사이버 작전으로 유명한 외국 정보기관에서 교육을 받았거나 그 기관에서 일하지 않았는지 확인하기 위해 노력하고 있습니다.
이스라엘의 8200부대, 러시아의 GRU 및 SVR 사이버 부대, 중국의 PLA 61398부대 및 기타 전 세계 공격적인 사이버 부대는 개방형 및 폐쇄형 시스템 모두에서 백도어를 개발 및 배포한 기록이 잘 문서화되어 있습니다. 공급업체가 위험을 공개하거나 완화하지 않고 이러한 배경을 가진 개발자를 고용하는 경우 고객은 탐지할 수 없는 취약점을 삽입하도록 명시적으로 훈련받은 사람이 작성한 코드를 신뢰하고 있다는 사실을 알 방법이 없습니다.
대담한 주장: 인증 없이도 배포 가능
국방, 정보 및 규제 부문의 중요 인프라는 다음을 수행해야 합니다 공급업체가 구속력 있는 인증을 제공하지 않는 한 모든 비공개 소스 소프트웨어 배포를 거부합니다 그거요:
이 제품의 어떤 코드도 외국 정보기관이나 국방 기관에서 사이버 보안, 신호 정보 또는 네트워크 익스플로잇 관련 업무를 수행한 적이 있는 사람이 개발, 컴파일 또는 검토한 것이 아닙니다.
공급업체는 비공개 소스 코드베이스의 모든 기여자에 대해 지속적인 백그라운드 검증을 유지합니다.
이 소프트웨어는 정부 허가를 받은 미국의 독립 보안 연구소에서 주기적으로 바이너리 수준의 무결성 검사를 받습니다.
이는 외국인 혐오나 보호주의가 아니라 운영 현실에 관한 문제입니다. 주니퍼, 솔라윈즈, 그리고 수많은 다른 기업에서 발생한 백도어 사고는 개발 체인이 국가 보안의 공격 표면이라는 사실을 입증했습니다. 이미 중요한 사이트와 하드웨어 공급망에 대한 물리적 액세스를 차단하고 있으므로 이제는 이러한 시스템을 실행하는 코드를 작성하고 컴파일하는 사람들에게도 동일한 엄격한 기준을 적용해야 할 때입니다.
결론 신뢰하되 출처 증명 필요
현대의 사이버 전장에서는 방어와 공격의 경계가 모호하며, 세계 최고의 엔지니어 중 상당수가 두 가지 모자를 모두 착용하고 있습니다. 규제를 받지 않는 소비자 앱의 경우 이러한 위험은 감수할 수 있는 수준일 수도 있습니다. 하지만 핵 지휘 시스템, 방위 위성, 금융 정보 센터, 항공 교통 관제를 제어하는 소프트웨어의 경우라면 어떨까요? 그렇지 않습니다.
오픈 소스 소프트웨어는 블랙박스와 같으며, 블랙박스는 매우 날카로운 칼을 숨길 수 있다는 것을 역사는 보여주고 있습니다. 누가 코드를 만들었는지 검증 가능한 보증을 요구하기 전까지는 모든 배포는 맹목적인 믿음에 의존하는 행위입니다. 중요 인프라의 경우, 맹목적인 믿음은 보안 전략이 될 수 없습니다.