면밀한 조사를 받고 있는 중요 인프라에서의 오픈 소스 사용

12월에 Log4j 로깅 라이브러리에서 발견된 결함과 같은 심각한 오픈 소스 소프트웨어 취약점은 오랫동안 침투 테스트에 등장할 가능성이 높습니다. 이러한 버그가 사라지지 않는 이유는 패치와 확실한 업데이트 조언이 있음에도 불구하고 관리자가 상용 또는 자체 개발 소프트웨어 애플리케이션 내에서 이러한 오픈 소스 구성 요소가 어디에 있는지 항상 인지하지 못하기 때문입니다.

특히 레거시 소프트웨어가 계속 지배적인 산업 환경에서는 다운타임을 용납할 수 없고 소프트웨어나 펌웨어 업데이트를 위해 중요한 서비스를 쉽게 끌 수 없기 때문에 이러한 버그의 심각성이 더욱 커집니다. 따라서 조직은 공개적으로 사용 가능한 익스플로잇의 영향을 무디게 하기 위해 완화 조치를 적용하는 것 외에는 다른 선택지가 거의 없습니다.

내일 여러 클라우드 서비스 제공업체, 소프트웨어 개발 회사 및 기타 기술 리더의 대표들이 백악관에서 만나 오픈 소스 소프트웨어 구성 요소의 확산과 위험에 대해 논의할 예정입니다. Log4j는 바이든 행정부 내에서 이러한 반응을 불러일으켰지만, 이는 한동안 지속되어 왔습니다.

오픈소스 '주요 국가 안보 우려'

미 행정부는 지난해 콜로니얼 파이프라인 및 기타 산업 기업에 대한 대규모 공격 이후 중요 인프라의 사이버 보안을 우선시해 왔으며, 국가의 가장 중요한 서비스를 운영하는 자산에 대한 가시성 강화를 촉구하는 여러 행정 명령과 산업별 명령이 등장했습니다.

백악관 국가 안보 보좌관 Jake Sullivan은 오픈 소스 소프트웨어의 사용을"국가 안보의 핵심 문제"라고까지 말했습니다. 윌리엄스는 상용 제품 내에서 오픈 소스 소프트웨어가 어디에 사용되는지에 대한 가시성이 부족하다는 점도 문제지만, 이러한 프로젝트 중 상당수가 "자원봉사자"에 의해 운영되고 있다고 덧붙였습니다. 아파치 소프트웨어 재단은 Log4j를 유지 관리하며, 웹사이트에 따르면 850명 이상의 개인 회원과 8,200명의 커미터가 재단이 구축하고 유지 관리하는 엔터프라이즈급 소프트웨어에 협력하고 있다고 합니다. Apache 웹사이트에는 300개 이상의 프로젝트가 등록되어 있으며, 예를 들어 얼마나 많은 멤버와 커미터가 Log4j에서 작업하는지 알 수 없습니다.

많은 오픈 소스 프로젝트는 리소스가 부족하고 자금이 부족하기 때문에 심각한 취약점이 드러나지 않는 한 이러한 문제가 드러나지 않는 경우가 많습니다. 2014년 OpenSSL에서 발견된 암호화 취약점인 하트블리드는 상용 소프트웨어부터 스마트폰, 산업용 디바이스까지 모든 곳에서 사용되는 소프트웨어임에도 불구하고 OpenSSL을 유지하는 데 필요한 리소스가 부족하다는 사실을 적나라하게 드러냈습니다. 당시에는 OpenSSL을 유지 관리하는 소수의 인력이 있었고, 업데이트는 매우 늦었지만 프로젝트를 계속 진행하기 위해 충실히 노력했습니다. 하트블리드는 많은 기업을 위험에 빠뜨렸고, 이에 대응하여 업계에서는 코드 기반을 감사하고 프로젝트에 자금과 개발 리소스를 투입하기 위한 그룹을 만들어야 했습니다.

내일 백악관 회의는 오픈 소스 소프트웨어로 인한 위험을 선제적으로 평가하기 위해 바이든 행정부가 취하고 있는 구체적인 조치입니다.

주요 위험 관리 도구인 SBOM

지난 5월, 연방 정부에서 사용하는 코드에 대한 소프트웨어 개발을 차단하기 위한 첫 번째 조치가 취해졌습니다.

솔라윈즈 공급망 공격에 힘입어 행정부는 소프트웨어 공급망 보안 강화에 관한 주요 조항이 포함된 행정 명령을 발표했으며, 여기에는 안전한 개발 관행을 평가하기 위한 가이드라인을 마련하는 내용이 포함되어 있습니다. 또한 EO는 연방 공급망 내 각 제품에 대한 소프트웨어 자재 명세서(SBOM)를 공개 웹사이트에 게시하도록 의무화했습니다.

SBOM은 예를 들어 식품의 성분 표시와 비슷합니다. 개발자는 오픈 소스 프로젝트 등 다양한 소스의 코드를 사용하여 프로젝트를 컴파일하는 경우가 많은데, SBOM은 소프트웨어 구축에 사용되는 구성 요소와 이러한 구성 요소 간의 관계를 설명합니다.

SBOM을 통해 구매자는 구매하려는 소프트웨어를 구성하는 구성 요소를 미리 파악하고, 최신 상태인지 확인하고, 중대한 취약점 발생 시 대응 우선순위를 정할 수 있습니다. 정부는 행정 명령을 통해 SBOM이 중요한 위험 관리 도구이며, 오늘날 의사 결정권자의 무기고에서 대부분 누락된 도구라고 밝혔습니다.

오픈 소스 이슈에 영향을 받지 않는 OT

Claroty의 Team82 연구팀은 오픈 소스 소프트웨어의 취약점으로 인해 OT도 큰 영향을 받을 수 있음을 입증하는 취약점을 발견했습니다.

두 가지 대표적인 사례를 살펴보겠습니다:

OpenVPN:

산업용 원격 액세스 솔루션은 거의 2년 전 팬데믹이 시작된 이후 산업 환경의 비즈니스에서 그 어느 때보다 중요해졌습니다. 많은 솔루션이 내부에서 OpenVPN을 실행하도록 구축되어 있습니다. OpenVPN은 라우팅 또는 브리지 구성과 원격 액세스 시설에서 사이트 간 보안 연결을 만드는 데 사용되는 가장 일반적인 VPN 구현입니다. 보안 터널을 구축하려는 경우, 새로운 기술을 개발하지 않고 OpenVPN을 사용할 수 있습니다.

82팀은 OpenVPN 상에서 실행되는 4개 공급업체의 산업용 원격 액세스 클라이언트를 조사했습니다: HMS Industrial Networks, Siemens, PerFact, MB 커넥트 라인. Team82가 발견한 취약점은 원격 코드 실행을 허용하거나 임의의 구성으로 새 OpenVPN 인스턴스를 설정하여 공격자가 권한을 상승시킬 수 있도록 허용했습니다.

두 시나리오 모두 공격자가 널리 사용되는 오픈 소스 구성 요소의 버그를 악용하여 원격 연결의 무결성을 심각하게 손상시킬 수 있습니다.

OpENer ENIP 스택:

오픈소스는 널리 사용되는 산업용 통신 프로토콜의 핵심이기도 합니다. 이러한 프로토콜은 제어 시스템이 현장 장치와 상호 작용하고, 새로운 구성 및 명령을 업로드하고, 데이터를 다운로드하는 방법을 감독합니다. OpENer ENIP 스택은 산업 기업에서 사용되는 많은 상용 제품 내부에서 실행되는 ENIP 및 CIP 프로토콜을 구현합니다.

작년에 Team82는 디바이스 충돌, 원격으로 코드를 실행하거나 디바이스에서 데이터를 읽는 데 사용될 수 있는 몇 가지 취약점을 공개하는 보고서를 발표했습니다.

ENIP는 선도적인 산업용 프로토콜로, 공통 산업용 프로토콜을 이더넷에 적용하여 서로 다른 산업용 애플리케이션 간에 디바이스 데이터를 전송할 수 있도록 합니다. 이러한 프로토콜에 대한 가시성은 산업용 디바이스와 주고받는 데이터의 무결성을 유지하는 데 필수적입니다.

권장 사항

오픈 소스 프로젝트 중 안전한 소프트웨어 개발은 여전히 큰 과제로 남아 있으며, 연방 정부도 이를 인식하고 있는 것으로 보입니다. 내일 백악관 회의는 Log4j 취약성에 대한 반작용이기는 하지만, 주요 중요 인프라 시스템에서 실행되는 소프트웨어에 대한 가시성과 최소한의 보안 개발 표준 준수를 의무화하는 데 더욱 박차를 가하는 계기가 될 것입니다.

연방 정부의 막대한 자금 지원으로 기업은 코드 분석을 개선하고, 취약성 관리의 우선순위를 정하는 데 도움이 되는 SBOM을 개발하고, 중요 시스템 내에서 오픈 소스가 실행되는 위치에 대한 가시성을 개선할 수 있습니다.

그렇지 않으면 Log4j, 하트블리드 등의 취약점이 계속 나타나 비즈니스 연속성을 방해하고 레거시 시스템에 앞으로도 몇 년 동안 남아있을 것입니다.