지난해 말 발생한 BeyondTrust를 대상으로 한 공급망 공격의 여파가 여전히 지속되고 있습니다. 최근 Censys가 발표한 보고서에 따르면, BeyondTrust의 Privileged Remote Access 및 Remote Support 제품 8,600개 이상의 인스턴스가 여전히 노출되어 있는 것으로 드러났습니다. 이는 국내에도 영향을 미칠 수 있는 문제로, 각별한 관심과 대비가 필요합니다.
BeyondTrust 공격 사건 개요
지난 12월, BeyondTrust는 일부 고객을 대상으로 한 공격 사건을 공개했습니다. 공격자는 손상된 API 키를 활용하여 Remote Support SaaS 인스턴스에 접근한 것으로 확인되었습니다. 이후 BeyondTrust는 CVE-2024-12356(명령어 삽입 취약점, CVSS 점수 9.8)과 CVE-2024-12686(중간 수준 심각도) 취약점을 수정하고 관련 패치를 배포했습니다.
이와 동시에, 미 재무부는 국가 지원 해커로 의심되는 공격자가 BeyondTrust 키를 사용해 여러 워크스테이션에 접근하고 분류되지 않은 정보를 탈취한 사건을 발표했습니다.
노출된 8,600개 인스턴스의 위험성
Censys의 연구에 따르면, 현재 노출된 BeyondTrust 인스턴스 중 모두가 취약한 상태는 아니지만, 일부는 심각한 보안 위협에 노출될 가능성이 있습니다. BeyondTrust는 20,000개 이상의 고객사를 보유하고 있으며, Fortune 100 기업 중 75곳에서 사용되고 있습니다. 정부 기관 및 주요 산업에서 의존하는 원격 지원 도구의 취약성이 심각한 결과를 초래할 수 있음을 이번 사건은 보여줍니다.
시사점 및 대응 방안
이번 사건은 공급망 보안의 중요성을 다시금 환기시키는 계기가 되었습니다. 특히 기업과 기관은 다음과 같은 대응 방안을 고려해야 합니다.
- 즉각적인 취약점 패치: CVE-2024-12356 및 CVE-2024-12686에 대한 패치를 빠르게 적용해야 합니다.
- API 키 관리 강화: API 키가 손상되지 않도록 보안 정책을 강화하고, 정기적인 모니터링을 수행해야 합니다.
- SBOM(Software Bill of Materials) 활용: 소프트웨어 공급망의 투명성을 확보하기 위해 SBOM을 도입하고, 취약점 및 위협을 사전에 파악해야 합니다.
- 지속적인 보안 교육: 원격 지원 도구의 보안 설정 및 사용 지침에 대한 교육을 강화해야 합니다.
이번 사건은 단순히 한 기업의 문제가 아닌, 전 세계적인 공급망 보안의 중요성을 일깨워주는 사례입니다. 국내에서도 BeyondTrust 제품을 사용하는 기업 및 기관이 많은 만큼, 보안 담당자들의 즉각적인 대응이 요구됩니다.
참고 자료:
- Censys 블로그 게시물
- CVE-2024-12356 및 CVE-2024-12686 관련 공지
- 미 재무부 발표 자료
'즐거운 보안 이야기 > 공급망 보안 뉴스' 카테고리의 다른 글
| FireScam Malware: A New Threat to Android Device Security (0) | 2025.01.13 |
|---|---|
| GitHub 리포지토리를 악용한 대규모 WordPress 자격 증명 유출 사건: 공급망 보안의 허점과 교훈 (2) | 2024.12.20 |
| 글로벌 SBOM 논의 본격화: 한국, 소프트웨어 공급망 보안 대표국으로 자리매김 (1) | 2024.10.08 |
| 헤즈볼라 호출기와 무전기 폭발 사건: 보안 사고인가, 의도된 공격인가? (1) | 2024.10.08 |
| 국가 차원의 소프트웨어 공급망 보안 강화: TF 가동을 통한 체계적 접근 (0) | 2024.10.08 |
