예견된 사고, 타깃이 되고 있는 S/W 공급망

2024년 7월 19일 새벽 4시경(UTC), 영국 런던증권거래소와 말레이시아 증권거래소가 심각한 서비스 장애를 겪었다. 남아프리카공화국 최대 규모 은행인 캐피텍 은행의 수많은 고객들이 거래 거절 사태를 겪었고 테슬라의 일부 생산 공정도 한때 가동 중단되어 직원들이 일찍 퇴근했다. 미국 워싱턴 DC에서는 지하철 운행이 연기되었고 세계 곳곳의 공항 카운터가 먹통이 되었다. 영국 NHS는 의료기록 저장과 예약 시스템 장애 등으로 신규 환자 예약, 진료, 처방 등 모든 의료활동이 중단되기도 했다. 이외에도 방송, 게임, 스포츠 및 각종 서비스업에서 POS기에 이상이 생겨 점포 운영을 제한하는 사태를 겪었다.

이 모든 장애가 한꺼번에 발생하였으며 그 원인은 마이크로소프트 윈도우상에서 실행되는 크라우드소프트웨어의 펠컨센서 EDR 보안소프트웨어의 오류에 기인한 것이었다. 참으로 황당하기도 하고 무섭기도 하면서 동시에 충분히 예견되었던 일이기도 하다.

전 세계적으로 약 850만 대의 PC에 장애를 일으킨 이번 사건은 오직 마이크로소프트 OS를 사용하는 이용자에게만 나타났고, 맥과 리눅스를 사용하는 고객은 문제가 없었다. 크라우드스트라이크는 콘텐츠 업데이트 결함 탓이지 보안사고나 사이버 공격은 아니라고 발표했다. 

그러나 문제는 그 다음이다. 크라우드스트라이크가 유발한 기술문제를 복구시켜준다면 악성코드를 유포하는 사례가 생겨났고, 크라우드스트라이크의 지원을 가장한 피싱 이메일을 통해 개인정보 입력을 유도하려는 사례 또한 발견되었다. 무엇보다도 해커들에게 공격 방법의 아이디어를 제공한 점이다. 최근 북한발 SW 공급망을 타깃으로 한 사이버 공격이 급증하였다. 랜섬웨어처럼 특정 기업을 타깃팅하는 것이 아니라 보안 SW 또는 응용 SW를 공급하는 개발사가 주요 타깃이고, SW의 업데이트 서버를 통한 전방위적 대량 살포가 주된 목적이다. 크라우드스트라이크 사고가 심각하고 광범위한 장애인 건 분명한데, 왠지 이것이 시작에 불과하고 더욱더 다양하고 광범위한 유사 사고의 위험성이 급증한 것이다.

여전히 안일한 보안 의식… "오늘도 무사히" 

"따르릉~" 

회장님의 전화였다. 

크라우드스트라이크 사태가 벌어지자마자 긴급 내부 점검회의를 진행하던 CISO 김전무는 서둘러 회장님의 전화를 받았다.

"김전무! 이번에 크라우드스트라이크 사태, 우리 회사는 영향이 없습니까?"

"네 회장님! 점검을 해보았는데, 저희는 리눅스 OS를 쓰고 있고 EDR 소프트웨어도 크라우드스트라이크가 아닌 최고의 국산 소프트웨어를 쓰고 있기 때문에 영향이 없습니다."

"오 그래? 문제가 없다는 거죠? 그러면 앞으로 발생하는 유사 사고에도 대비책이 되어 있는 거겠죠?"

"네 맞습니다! 최신 보안 소프트웨어와 보안 관리체계로 일일 점검을 하고 있는 등 철저한 대비를 하고 있습니다."

"좋습니다. 회사 사업의 운용에 대한 IT 의존도가 높아지니 늘 철저히 관리해주세요."

"알겠습니다. 회장님."

국내에 있는 많은 회사에서 일어났던 풍경이다. 별로 문제가 없어 보이는 대화이다. 모두 다 알다시피, 정보보안에 대한 투자는 끝이 없다. 언제 일어날지 모르는 보안 사고를 대비하기 위해 어디까지 투자를 해야 하는지는 CISO를 포함한 경영진에게는 늘 고민의 대상이다. 보안 투자에 대해서만큼은 ROI를 엄격하게 적용할 수밖에 없는 것이 현실이고, 회사 경영이 어려워지면 특히 늘 후순위로 밀리는 것이 보안 투자이기도 하다. 

http://www.ifs.or.kr/bbs/board.php?bo_table=News&wr_id=54316