美 크라우드스트라이크 보안 제품 업데이트 결함에 공항·병원 등 전세계 피해 속출
클라우드 기반 SW 배포방식 이대로 괜찮을까…SW공급망 보안 이슈 재점화
제3자 사이버 공격·기술 오류에 심각한 피해 유발
# 19일(한국시각 기준) 호주의 한 공항. 갑자기 티켓 발권 화면이 파랗게 변했다. 손 쓸 틈 없이 다른 PC들의 화면에 같은 증상이 나타났다.
공항은 아수라장이 됐다. 항공기 지연은 물론이고 급한 일로 공항을 찾은 사람들은 발을 동동 굴러야 했다. 이용객들은 공항 시스템이 해킹된 것 아니냐고 따졌다.
같은 시간 델타 항공, 유나이티드 항공, 아메리칸 항공을 포함한 주요 미국 항공사의 모든 항공편이 시스템 장애로 운항이 중단되거나 발권이 지연됐다. 영국 런던 개트윅 공항과 독일 베틀린공항, 스코틀랜드 에든버러 공항, 프라하 공항 등의 발권 시스템도 동시다발적으로 장애가 발생했다.
공항·항공사 뿐 아니라 철도 발권 시스템과 병원 예약 시스템을 포함해 여러 기업·기관들의 업무용 PC들이 줄줄이 먹통이 되는 피해가 전세계 곳곳에서 발생했다. 사상 초유의 IT 대란이다.
◆SW 업데이트 파일 하나가 불러온 IT대란
사태 초기에는 마이크로소프트(MS)의 클라우드 서비스에 장애가 발생한 것 아니냐는 의혹도 제기됐으나, 확인 결과 미국 보안 기업인 크라우드스트라이크의 보안 제품 업데이트 결함이 결정적 원인인 것으로 밝혀졌다.
통상 보안·SW 기업들은 온라인으로 주기적으로 고객사에 보안 패치 및 성능 개선 등 서비스 업데이트를 해준다. 이날 크라우드스트라이크도 고객사에 보안 업데이트를 진행했는데, 하필 MS ‘윈도10’ 운영체제(OS)와 충돌했던 것. 리눅스 등 다른 OS도 있지만 상당수 기업들이 MS 윈도를 서버나 PC OS로 채택하고 있다. 그래서 피해가 많았다.
크라우드스트라이크는 시가총액이 116조원에 달하는 미국 보안업체다. 안티바이러스와 사이버 위협 대응시스템, 클라우드 보안 등을 주력 제품으로 보유하고 있다. 우리나라의 경우, 안랩 등 토종 보안 제품에 밀려 잘 모르는 이용자들이 많지만, 해외에선 꽤 유명한 브랜드다. 포춘 100대 기업 중 상당수가 이 회사 보안 제품을 쓰고 있다.
보안 전문가들은 이번 사고에 대해 의아해 하고 있다. 익명을 요구한 한 보안 전문가는 “세계적인 기업이 통상 소프트웨어 업데이트를 진행할 때 고객사들의 운영체제 시스템과 충돌하는지 여부를 테스트하고 검증이 완료됐을 때 실제 파일을 전송하는데 이 과정이 너무 소홀했던 것 아니냐”고 진단했다.
크라우드스트라이크측은 뒤늦게 자사 제품의 결함을 인정했다. 조지 커츠 크라우드스트라이크 최고경영자(CEO)는 이날 “MS 윈도에 대한 콘텐츠 업데이트 과정에서 결함이 발견됐다”며 “보안 사고나 사이버 공격이 아니다”라고 말했다. ◆한번 업데이트로 전세계 고객사 마비…소프트웨어 공급망 관리 이슈 재점화
전문가들은 전세계를 멘붕에 빠트린 이번 IT대란을 소프트웨어(SW) 공급망 관리 부실이 대재앙을 부를 수 있음을 보여준 상징적인 사례가 될 것으로 본다.
소프트웨어 공급망이란 소프트웨어가 개발, 배포, 설치되는 전체 과정과 일련의 활동을 말한다. 예전 패키지 SW를 팔 때와는 달리, 온라인·클라우드로 제품을 설치하고 주기적으로 제품 업데이트를 진행한다. 컴퓨터를 사용하다 보면 흔히 볼 수 있는 ‘00 자동 업데이트’와 같은 것들이 이같은 원리다.
그러다 보니 제품 개발사가 제품이 깔려있는 고객사 서버와 PC에 손쉽게 접근할 수 있다. 보안 제품을 우회할 수 있는 일종의 통로가 열려있는 셈이다.
하지만 이런 배포 방식에는 치명적 오류가 있다. 만약 제3자가 해킹해 이같은 소프트웨어 업데이트 통로를 악용하거나 이번 사고처럼 기술적 오류가 발생할 경우 제품이 깔린 전체 고객사가 피해를 입게 된다.
가령, 이번 IT대란에서 크라우드스트라이크 제품을 쓰는 기업·기관들의 PC가 직접적인 피해를 입었지만, 윈도 기반의 여러 다른 시스템과도 연쇄적으로 충돌하면서 피해가 눈덩이처럼 불었다. 대표적으로 윈도 기반의 글로벌 항공발권 시스템인 ‘나비테어’에 장애가 발생하면서 이곳 프로그램을 쓰는 전세계 항공·공항의 발권업무가 마비되는 초유의 사태까지 발생했다.
◆치명적인 SW 배포방식…기술적 오류나 제3자의 사이버 해킹시 피해 도미노
보안 전문가들은 무엇보다 소프트웨어 공급망을 통한 사이버 공격의 위험성을 강조한다. 이번엔 개발사의 잘못이라고 해도 사이버 공격자가 개입해 의도적으로 악성코드를 심어 배포 할 수도 있기 때문이다.
게다가 이렇게 공격자들이 심어 놓은 악성코드는 소프트웨어를 통해 1차 고객사, 그리고 최종 이용자에게 전달된다. 소프트웨어 공급망을 타고 연쇄적으로 전달되기 때문에 단일 피해로 끝나지 않는다.
최윤성 고려대학교 교수는 “이번 사고는 시스템 핵심 역할을 하며, 또 다른 시스템에 영향을 줄 수 있는 권한을 가지고 있는 보안 솔루션으로 비롯된 것이라 문제가 커진 것 같다”면서 “소프트웨어 공급망 보안의 중요성이 다시금 강조된다” 설명했다.
소프트웨어 공급망 공격으로 인한 피해는 이미 시작됐다. 2020년 솔라윈즈의 네트워크 모니터링 소프트웨어에서 백도어가 발견됐다. 이 SW를 내려받은 기관·기업은 1만8000개 이상에 달했다. 이 사건은 미국 역사상 최악의 사이버 공격 중 하나로 꼽혔다.
지난해 3월엔 국내 주요 기관 60여곳의 PC 210여대가 해킹되는 일이 발생했다. 보안당국이 원인을 파악한 결과, 유명 금융 보안인증 SW의 보안 취약점이 해킹 통로로 악용됐다. 더욱이 시스템 뒷단에서 작동하는 보조 프로그램이기 때문에, 자신의 컴퓨터에서 해당 SW가 깔려있는 지 없는 지 잘 모르는 이용자들이 많았다.
가트너는 내년까지 전 세계 조직의 45%가 SW공급망 공격을 경험할 것이라며, 공급망 리스크가 더욱 커질 것으로 예측했다. 또 과학기술정보통신부와 한국인터넷진흥원(KISA) 역시 ‘2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망’을 통해 올해 주요 사이버 위협 중 첫번째로 소프트웨어 공급망 공격을 꼽았다.
댓글 0