게시일: 2021. 2. 15 오전 5:17:35
약 2백만 명이 다운로드해서 사용 중인 크롬 플러그인인 그레이트 서스펜더가 알 수 없는 경로로 감염되었고, 이를 통해 악성 코드가 빠르게 유포됐다. 다시 한 번 서드파티 요소의 보안 문제가 불거지기 시작했다.
[보안뉴스 문가용 기자] 구글이 약 2백만 명의 사용자를 둔 인기 크롬 플러그인을 삭제했다. 해당 플러그인이 해커들에 의해 침해됐고, 따라서 악성 공격에 활용되고 있다는 것을 알아냈기 때문이다. 이 앱의 이름은 그레이트 서스펜더(Great Suspender)로, 브라우저의 메모리 사용량을 줄이는 기능을 가지고 있다.
[이미지 = utoimage]
그레이트 서스펜더의 원 개발자는 이미 이 유틸리티의 코드를 다른 조직에 넘긴 상태다. 이 조직에 대해서는 아직 알려진 바가 없다. 다만 이들은 그레이트 서스펜더를 넘겨받은 후 플러그인의 기능을 바꾸고 사용자에게 고지하지 않은 상태에서 코드를 업데이트 했다고 한다. 일종의 공급망 공격에 활용되고 있는 것으로, 이는 얼마 전 발생한 솔라윈즈(SolarWinds) 사태를 연상시킨다고 보안 업체 비숍폭스(Bishop Fox)의 CEO인 비니 리우(Vinnie Liu)는 설명한다.
“지난 15년 동안 ‘안전한 개발’이라는 것은 ‘개발자들이 실수로 취약점을 야기하는 일을 방지하는 것’에 초점이 맞춰져 있었습니다. 누군가 악성 요소를 첨부해서 자신들의 목적에 맞게 서비스나 앱을 악용하는 부분은 크게 신경을 쓰지 않았던 것이 사실입니다. 그래서 그레이트 서스펜더와 같은 방식으로 기존 앱이 악용되는 것에 개발자들은 익숙하지 않습니다. 확실히 이 공격은 현대의 보안 인프라가 가진 사각지대를 공략하는 것이라고 볼 수 있습니다.”
애플리케이션 보안을 전문으로 하는 기업들은 예전부터 오픈소스 및 서드파티 요소들을 검사한 후 개발에 사용하라고 경고해왔다. 또한 이런 요소들을 통한 ‘공급망 공격’이 점점 주를 이루게 될 것이라고 예견해오기도 했다. 실제 우크라이나의 회계 소프트웨어 업데이트 파일을 통한 낫페트야(NotPetya) 사건과 최근에 발생한 솔라윈즈(SolarWinds) 모두 공급망 공격의 파괴성을 드러냈다.
보안 업체 SDX 시큐리티(SDX Security)의 보안 담당관인 스티븐 프라이(Stefan Frei)는 “소프트웨어를 구조적으로 추적해 변경 사항을 확인할 수 있어야 한다”고 주장한다. “어떤 소프트웨어건 생애주기 중 변경이 발생했을 때 그 사실을 누구나 알 수 있도록 해야 합니다. 그래서 인기가 높고 많은 사람들이 사용하는 소프트웨어가 예기치 않게 변경될 때 즉각 조사를 통해 추적할 수 있어야 합니다.”
아직 그레이트 서스펜더라는 정상 앱이 어떤 과정을 거쳐 악성 앱으로 변경되었는지는 명확히 밝혀지지 않고 있다. 2020년 6월 그레이트 서스펜더의 유지 관리 책임을 가지고 있던 개발자는 그레이트 서스펜더를 어떤 조직에 판매했다고 한다. 판매 후 3개월이 지나 구글 크롬 스토어와 마이크로소프트 에지 스토어에 등록되어 있던 그레이트 서스펜더들에 의아한 코드가 섞여들기 시작했다. 마이크로소프트는 11월 그레이트 서스펜더를 스토어에서 삭제했지만 구글은 지난 목요일까지 유지했다.
수수께끼와 같은 과정을 통해 그레이트 서스펜더에 주입된 악성 코드의 실제 기능 역시 아직 정확히 파악되지 않고 있다. 지난 11월 보안 전문가 캘럼 맥코넬(Callum McConnell)은 앱의 분석을 마친 뒤 “현재 스토어에서 유통되는 버전의 그레이트 서스펜더는 누군가 일부러 숨긴 데이터를 로딩하는 것으로 나타났다”고 말했다. “악성 코드 자체는 서버에서부터 로딩되는 것으로 보이며, 꽤나 두터운 난독화 기술로 보호되고 있습니다. 그래서 정확히 어떤 피해가 발생했고, 어떤 기능이 있는지 파악하기가 힘듭니다.”
프라이는 “어느 조직이나 소프트웨어 물자표를 만들고 각 구성 요소들을 추적해야 한다”고 권장한다. “그렇게 해서 코드 내에서 발생하는 모든 변경 이력들을 기록하고 추적할 수 있어야 합니다. 개별 기업들이 이렇게 하는 것도 중요하지만 보다 넓은 범위에서 산업들이 전체적으로 이런 움직임을 보이고 표준을 정하는 것도 중요합니다. 정부 기관들이 앞장서야 도입이 될 것으로 보입니다.”
프라이는 “소프트웨어 구성 요소들을 추적하고 관리하는 것은 이제 사회 전체의 공익을 위해 이뤄져야 하는 일”이라고 말한다. “코드에 변경이 발생할 경우, 혹은 소유자가 바뀔 경우 코드 서명 규칙과 인증서를 처음부터 다시 설정 및 발급해야 하는 절차도 마련해야 합니다.”
리우는 “애플, 구글, 마이크로소프트와 같은 큰 소프트웨어 회사들이 소프트웨어 보안을 위한 생태계와 문화 마련에 앞장서게 될 것”이라고 말한다. “이들이야 말로 서드파티 요소들을 가장 많이 사용할 수밖에 없는 기업들입니다. 철저하게 보안에 신경을 써야 하죠. 하지만 회사라는 테두리 내에서만 모든 소프트웨어 서드파티 요소들을 관리할 수는 없습니다. 분명 이들이 이니셔티브를 만들어 소프트웨어 요소들을 전 산업적 규모로 보호하자는 움직임을 보일 것입니다.”
실제로 구글은 오픈소스의 취약점 관리에 보다 많은 사람들이 참여하도록 하기 위해 오픈소스취약점(OSV)이라는 데이터베이스를 오늘 런칭했다. 구글은 “개발자들과 소프트웨어 사용자들을 모두 보호하기 위한 첫 걸음을 내디뎠다”며 “서드파티 요소들의 취약점들이 보다 빨리 발견되고 보다 빨리 고쳐질 수 있도록 모두가 참여하는 생태계를 구축하겠다”고 밝혔다. 이 데이터베이스에는 다음 주소(https://osv.dev/)를 통해 접속이 가능하다.
3줄 요약
1. 그레이트 서스펜더라는 인기 크롬 플러그인, 갑자기 악성 코드 전파.
2. 아직 악성 코드가 심겨진 경로와, 그 정확한 기능은 알 수 없음.
3. 서드파티 코드 요소, 이제 산업 전체 혹은 국가적으로 관리해야 할 때?
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
그레이트 서스펜더 앱은 오랬동안 사용하지 않는 탭을 자동으로 자동으로 정지시켜 주는 확장프로그램이다.
따로 정보를 찾아보니 지난해 11월에 github에 긴급이슈가 등록 되었고, 만약 기사내용대로라면 몇개월동안 이를 방치한 구글의 책임소재를
피할 수 없어보인다. 멀웨어의 기능은 원격 코드 실행이며, Google Analytics 의 기능을 수행하는 것 처럼 숨겨져 있었다고 한다.
무서운 점은 사용자가 보는 모든 웹페이지의 수정권한을 가지고 있기 때문에 다양한 범죄를 일으킬 수 있다는 점이다.
여러모로 주의를 해야한다.