본문 바로가기
정보보호 (Security)

AI 시대, 급증하는 소프트웨어 공급망 공격 변화와 대응 전략

by 날으는물고기 2025. 3. 29.

AI 시대, 급증하는 소프트웨어 공급망 공격 변화와 대응 전략

728x90

최근 AI 기반 기술 및 애플리케이션이 빠르게 확산되면서 관련 소프트웨어의 공급망 공격도 급증하고 있습니다. 특히 AI 및 LLM(Large Language Model)과 같은 고급 기술이 도입된 환경에서는 공격자들이 인공지능의 학습 모델, 데이터 세트, 개발 도구 및 코드 라이브러리를 대상으로 삼아 공급망 공격을 시도하고 있습니다.

 

대표적으로 아래와 같은 특징들이 있습니다.

  • 오픈소스 및 서드파티 소프트웨어 활용 증가
    개발 효율성을 위해 오픈소스 및 서드파티 라이브러리 의존도가 높아졌지만, 이로 인해 보안 리스크도 함께 증가했습니다.
  • 공격 대상의 다양화
    개발자의 코드, 패키지 관리 시스템(npm, PyPI 등), 클라우드 기반 AI 도구 및 플랫폼 등이 공격 표적이 되고 있습니다.
  • 공격 기법의 정교화
    'nullifAI' 사례처럼 악성 코드를 숨기고 정상 프로세스인 것처럼 위장하는 복잡한 기법도 등장했습니다.

AI 공급망 공격 증가

원인 분석

  1. 코드 부식(Code Rot) 현상
    유지보수가 제대로 되지 않고 방치된 오래된 라이브러리나 모듈이 공격에 취약한 상태로 계속 사용되고 있습니다.
  2. 비밀 정보 노출
    공개된 오픈소스 패키지에서 개발자의 계정 키, API 키 등 민감한 정보가 노출되는 사례가 증가했습니다.
  3. 서드파티 소프트웨어 구성 요소 취약점
    상용 및 오픈소스 소프트웨어에 내재된 취약점이 빠르게 증가하고 있으며, 이 취약점을 노리는 공격이 증가하고 있습니다.

사례 예시

  • 솔라윈즈(SolarWinds) 해킹 사건
    소프트웨어 업데이트 프로세스를 통해 다수의 기업 및 기관이 해킹당한 사례로, 소프트웨어 공급망 공격이 널리 알려지는 계기가 되었습니다.
  • nullifAI 공격 사례
    파이썬 Pickle 직렬화 파일에 악성코드를 은닉하여 AI 개발 플랫폼 허깅페이스의 보안 체계를 우회했습니다.
  • npm 인기 패키지 취약점 분석 사례
    npm의 한 패키지에서 총 164개의 코드 취약점(치명적 43개, 높은 위험도 81개)이 발견되었습니다.

AI 공급망 공격 대응

핵심 전략 및 보안 과제

  1. 소프트웨어 자재 명세서(SBOM, Software Bill of Materials) 관리 강화
    • 기존의 단순 구성 요소 목록화에서 벗어나, 머신러닝 모델, 암호화 알고리즘, SaaS 서비스 구성 요소까지 포함한 포괄적 SBOM 구축 필요
    • 소프트웨어 구성 요소들의 의존성 및 취약점 분석의 필수적인 기반
  2. 지속적인 위험 평가 및 분석 자동화
    • AI 개발 라이프사이클의 전반에 걸친 지속적이고 자동화된 위협 탐지 및 관리
    • 코드 및 구성요소의 변경사항을 상시적으로 추적·평가하여 빠르게 보안 위협에 대응
  3. 공급망 전체 통제와 관리 강화
    • 서드파티 소프트웨어와 오픈소스 코드의 보안성을 평가할 수 있는 심층 분석 도구의 도입
    • 기존 애플리케이션 보안(AppSec) 도구의 한계를 보완하는 새로운 세대의 솔루션을 도입해 악성코드 삽입, 암호학적 취약성 등을 탐지
  4. 적극적인 보안 테스트 및 검증
    • AI 모델의 비공개 레이어를 제한된 환경에서 적대적 침투 테스트와 공격 시뮬레이션을 통해 보안성을 검증
    • AI 애플리케이션 개발 과정에서 정기적이고 지속적인 보안 테스트 수행

보안 점검 포인트 및 가이드

개발팀 및 엔지니어 대상 가이드

  • 서드파티 및 오픈소스 라이브러리 사용 시 반드시 최신 버전 및 보안 패치 여부 확인
  • 사용되는 소프트웨어의 SBOM을 상시 업데이트하고 취약점 DB와 연계하여 취약점 상태를 지속 점검
  • 비밀 정보(API 키, 계정 정보 등)는 절대로 소스코드에 하드코딩하지 않고, 보안 저장소나 환경변수를 활용하여 관리

보안 관리자 대상 점검 포인트

  • AI 개발 파이프라인 내 모든 구성 요소에 대한 보안 평가 및 주기적 취약점 진단 점검 수행 여부
  • 소프트웨어 공급망에서 발생 가능한 악성코드 삽입 시나리오를 수립하여 대응책 및 탐지 체계 확보 여부
  • 컨테이너 이미지 및 가상 환경 내 포함된 서드파티 구성 요소의 취약성 점검 및 관리 여부
  • 내부 구성원의 보안 인식 강화 및 정기적인 보안 교육과 워크샵 실시 여부

기술적 예시 및 점검 방법

SBOM 관리 및 취약점 탐지

  • CycloneDX 등 SBOM 생성 도구 활용 예시 
    cyclonedx-py -r -i requirements.txt -o sbom.xml

컨테이너 취약점 분석 도구

  • Trivy 사용 예시 
    trivy image 컨테이너이미지이름

AI 코드/모델 안전성 점검

  • Hugging Face 모델의 안전성 점검 사례 
    from transformers import AutoModel, AutoTokenizer

model_name = "모델 이름"
tokenizer = AutoTokenizer.from_pretrained(model_name)
model = AutoModel.from_pretrained(model_name)

# 안전성 점검 테스트
inputs = tokenizer("악성 코드 테스트 입력", return_tensors="pt")
outputs = model(**inputs)

AI 기반의 소프트웨어 공급망 공격이 지속적으로 증가하고 복잡해짐에 따라, 기업들은 SBOM 관리의 강화, 지속적이고 자동화된 보안 관리, 심층적이고 능동적인 보안 테스트, 개발 및 공급망 전반에 걸친 철저한 위험 관리를 통해 적극적인 대응이 필요합니다. AI 기술 도입에 맞추어 보안 전략과 관리 시스템도 새로운 보안 위협에 맞게 고도화해야 합니다.

 

소프트웨어 공급망 보안 가이드라인 1.0 발표

부제: 소프트웨어 공급망 보안 국제동향 및 소프트웨어 구성명세서(SBOM) 활용사례국산 소프트웨어에 소프트웨어 구성명세서(SBOM) 실증결과를 반영한 가이드라인(지침) 마련디지털플랫폼정부 시

blog.pages.kr

2025년 SW 공급망 보안 체계 진단 서비스 안내 - KISA

 

한국인터넷진흥원(KISA)은 기업들이 스스로 해킹 사고 여부를 점검할 수 있도록 윈도우 및 리눅스 운영체제를 위한 ‘해킹 진단 도구’ 를 개발하여 제공하고 있습니다. 2023년 윈도우용 도구를 시범 배포한 이후 지속적으로 기능을 개선해 왔으며, 2025년 3월 25일 윈도우와 리눅스 운영체제 모두를 지원하는 신규 버전을 공식 배포했습니다.

해킹 진단 도구의 주요 기능

  • 윈도우 운영체제
    • 증거 데이터 수집 항목 추가
    • 탐지룰 제작 기능 개선
    • 신규 탐지룰 탑재
  • 리눅스 운영체제
    • 프로세스 정보, 메타데이터 정보, 시스템 로그 등 주요 침해사고 증거 데이터를 자동으로 수집 가능

해킹 여부 진단 방법

해킹 진단 도구는 다음과 같은 주요 증거 데이터를 수집하여 자동 분석한 후 결과를 직관적으로 3단계로 표시합니다.

  • 심각(빨강): 해킹 사고 발생 가능성이 높음
  • 주의(주황): 의심스러운 징후 발견, 추가 점검 필요
  • 정상(녹색): 해킹 징후 없음

이를 통해 비전문가도 쉽게 해킹 사고 여부를 판단할 수 있도록 지원합니다.

침해사고 대응 프로세스

  • 기업은 진단 결과 해킹 사고가 의심될 경우, KISA에 신고하여 지원을 받을 수 있습니다.
  • KISA는 신고 기업에 침해사고 분석 기술지원 서비스를 제공하며, 사고 원인 분석 및 재발 방지 대책 수립까지 전 과정을 지원합니다.

이용 방법 및 신청

해킹 진단 도구에 대한 자세한 내용 확인 및 신청은 KISA 보호나라 누리집을 통해 가능합니다.

  • 보호나라 누리집: https://boho.or.kr
  • 신청 경로: 정보보호 서비스 → 서비스 신청하기

활용 가이드 및 점검 포인트

기업 내부에서 해킹 진단 도구를 효과적으로 활용하려면 다음과 같은 사항을 권고합니다.

  1. 정기적인 진단 수행
    • 최소 월 1회 정기적인 자가 점검을 통해 잠재적인 보안 위험을 조기에 발견하고 대응합니다.
  2. 주요 침해사고 증거 데이터 정기 점검
    • 관리자 계정 접속 기록, 비정상적인 프로세스, 네트워크 연결 상태, 시스템 로그 변경 여부 등을 주기적으로 점검합니다.
  3. 진단 결과에 따른 신속한 대응
    • 빨강(심각) 혹은 주황(주의)으로 나타난 결과는 즉시 추가 점검 및 상세 분석을 수행하고, 필요시 외부 전문기관(KISA)의 기술지원을 적극 활용합니다.
  4. 보안 교육 및 인식 강화
    • 내부 임직원이 진단 도구 사용법 및 결과 판단 기준을 숙지하도록 정기적인 교육 및 안내를 실시하여 보안 의식을 높입니다.
  5. 진단 도구 결과 이력 관리
    • 해킹 진단 결과 이력을 체계적으로 기록하고 관리하여 사고 발생 시 증거자료로 활용합니다.

위 사항들을 참고하여 KISA에서 제공하는 해킹 진단 도구를 조직의 보안 관리 체계에 적극 활용하고 침해사고 예방과 대응 능력을 향상시킬 것을 권장합니다.

사이버 위협정보 분석공유(C-TAS) 시스템이란?

  • 한국인터넷진흥원에서는 사이버 위협정보 분석·공유(C-TAS, Cyber Threat Analysis & Sharing) 체계를 구축하여 국내외 기업 및 기관들과 사이버 위협의 지능화·고도화로 인한 침해사고 조기 대응과 피해 확산방지를 위해 노력하고 있습니다.
  • C-TAS 시스템은 여러 산업 분야에 걸쳐 광범위하게 발생하고 있는 침해사고에 대응하기 위해 2014년부터 운영하고 있는 시스템으로 보안기업, 금융, 전자상거래, 호스팅 등 다양한 분야의 기업이 참여하여 위협정보를 공유하고 있습니다.
  • 2022년 1월부터는 중소기업의 참여 확대를 위해 개방형 누리집을 개설하여 기존 API 서비스와 별개로 위협정보를 원하는 모든 기업이 제공 받을 수 있도록 개방하여 운영하고 있습니다.

C-TAS 개방형 누리집(https://ctas.krcert.or.kr)

파밍IP, 피싱IP, 공격시도IP, C&C, 유포지 등의 정보를 활용하여 DB(내부 위협 DB)에 저장 후 사내 IPS, IDS, F/W 등 보안장비에 적용할 수 있습니다.

악성코드 정보를 활용하여 DB(내부 위협 DB)에 저장 후 사내 백신 솔루션에 악성코드 해시(Hash)값 등록, 악성코드 진단에 이용할 수 있습니다.

악성코드, 악성이메일 정보를 활용하여 DB(내부 위협 DB)에 저장 후 웹서비스를 통해 업로드 되는 파일과 해시값 비교, 악성파일 탐지 및 차단에 이용할 수 있습니다.

728x90
저작자표시 비영리 동일조건

관련글

댓글

티스토리툴바