서드파티를 통해 들어온다 — 공급망 공격이 새로운 표준이 된 이유

#사이버보안 #공급망공격 #SupplyChainAttack #ShinyHunters #보안

이번 달, Rockstar Games가 또 뚫렸습니다. 이번엔 Rockstar의 보안이 허술해서가 아니었습니다. 그들이 사용하는 클라우드 비용 모니터링 서비스 Anodot가 침해됐고, 공격자는 그 연결을 타고 들어왔습니다. Rockstar는 자신들의 시스템을 직접 공격당한 것이 아니라, 신뢰하던 서드파티를 통해 간접적으로 침해됐습니다.

이 구조가 낯설지 않은 이유가 있습니다. 같은 방식으로 Ticketmaster는 Snowflake를 통해, Target은 HVAC 협력업체를 통해, 그리고 18,000개 조직은 SolarWinds를 통해 침해됐습니다. 공급망 공격(Supply Chain Attack)은 더 이상 정교한 국가 수준의 공격자만 쓰는 기법이 아닙니다. 2026년 현재, 가장 흔하고 가장 비싼 사이버 위협의 표준이 됐습니다.

숫자부터 보면

2025년 Verizon 데이터 침해 조사 보고서(DBIR)에 따르면 전체 데이터 침해의 30%에 서드파티가 연루되어 있습니다. 전년 대비 두 배로 증가한 수치입니다.

피해 규모도 커졌습니다. Ponemon Institute는 2025년 공급망 침해의 사건당 평균 비용이 491만 달러라고 보고했습니다. 단순 랜섬웨어보다 비용이 높고, 탐지도 늦습니다. 공급망 침해를 식별하고 억제하는 데 평균 267일이 걸립니다. 9개월 가까이 내 시스템 안에 공격자가 있었다는 것을 모를 수 있다는 의미입니다.

2025년 위협 그룹들이 공개적으로 주장한 공급망 공격 건수는 297건으로, 전년 대비 93% 증가했습니다.

개발자 환경도 이미 전선이 됐습니다. 2020년부터 2023년 사이 오픈소스 저장소에서 발견된 악성 패키지는 1,300% 증가했으며, 2019년 이후 704,102개 이상의 악성 패키지가 기록됐습니다.

공급망 공격이란 정확히 무엇인가

공급망 공격은 조직을 직접 표적으로 삼는 것이 아니라, 그 조직이 의존하는 서드파티 소프트웨어, 코드 패키지, 인프라, 또는 서비스를 침해하는 사이버 공격입니다.

직접 침입과 공급망 공격의 차이를 한 문장으로 정리하면 이렇습니다. 직접 침입은 "당신의 자물쇠를 따는 것"이고, 공급망 공격은 "당신이 믿는 열쇠 복사 가게를 장악하는 것"입니다.

공격자 입장에서 공급망 공격이 매력적인 이유는 명확합니다. 대기업들은 보안에 막대한 투자를 합니다. 방화벽, 침입 탐지 시스템, 제로트러스트 아키텍처를 갖추고 있습니다. 하지만 그들이 사용하는 수백 개의 서드파티 서비스가 같은 수준의 보안을 갖추고 있을 가능성은 낮습니다. 당신의 보안이 탄탄해도 협력업체는 같은 예산이나 보안 성숙도를 갖추지 못했을 수 있습니다. 침해된 벤더 하나가 수천 개의 다운스트림 피해자로 가는 관문이 됩니다.

사례로 보는 공급망 공격의 진화

SolarWinds (2020) — 역대 최대 규모

러시아 정보기관 요원들이 2019년 9월 SolarWinds의 소프트웨어 빌드 시스템을 침해했습니다. 이들은 수개월간 잠복하며 개발 환경을 파악했고, 2020년 2월 Orion 네트워크 관리 플랫폼에 악성 코드를 심었습니다.

2020년 3월 26일 SolarWinds가 Orion 업데이트를 배포하기 시작하면서, 수천 개의 고객사가 악성 코드가 담긴 버전을 설치했습니다. 악성 코드는 SolarWinds 자체의 디지털 서명으로 서명되어 있었습니다.

이것이 공급망 공격의 핵심입니다. 고객들은 신뢰하는 벤더가 보낸 정식 서명된 업데이트를 설치했을 뿐입니다. 악의적인 행동을 한 것이 없습니다.

미국 재무부, 국무부, 국토안보부를 포함한 9개 연방 기관과 약 100개 민간 기업이 실제로 침해됐습니다. 침해 사실은 2020년 12월 FireEye가 자체 시스템을 조사하다가 발견했습니다. SolarWinds는 주주 소송 합의금으로 2,600만 달러를 지불했고, 피해 기업 전체의 복구 비용은 9,000만 달러를 넘었습니다.

XZ Utils (2024) — 2년간의 사회공학

2024년 초, 널리 사용되는 Linux 압축 라이브러리 XZ Utils에서 백도어가 발견됐습니다. 공격자는 2년 이상 오픈소스 프로젝트에 기여자로 참여해 메인테이너의 신뢰를 쌓았고, 결국 공식 릴리즈에 악성 코드를 삽입했습니다. 한 개발자가 성능 이상을 조사하다가 우연히 발견해 대규모 피해를 막았습니다.

이 취약점은 CVSS 10.0 최고 위험 등급을 받았으며, 대부분의 Linux 시스템이 침해될 뻔한 상황이었습니다. 공격자는 코드를 뚫은 게 아니라 사람을 뚫었습니다.

3CX (2023) — 공급망이 또 다른 공급망을 침해했다

3CX 공격은 연쇄 공급망 침해의 사례입니다. 공격자들은 먼저 금융 소프트웨어 회사 Trading Technologies를 침해했고, 그 접근권을 이용해 60만 비즈니스 고객을 보유한 VoIP 제공업체 3CX를 침해했습니다. 3CX의 정식 데스크탑 앱 업데이트에 악성 코드를 심어 수십만 개 네트워크에 침투했습니다.

이 사건은 "N차 리스크"라는 개념을 현실로 보여줬습니다. 직접 거래하는 벤더를 검증하는 것으로는 충분하지 않습니다. 그 벤더가 사용하는 또 다른 벤더까지 신뢰 사슬이 이어지기 때문입니다.

Bybit (2025) — 15억 달러짜리 공급망 공격

2025년 Bybit 암호화폐 거래소에서 발생한 15억 달러 탈취는 지갑 소프트웨어의 공급망 공격으로 인한 것이었습니다. 악성 코드는 해당 지갑이 특정 조건에서 사용될 때만 실행되도록 설계됐습니다. 단일 공급망 공격으로 인한 역대 최대 금전 피해 사례입니다.

Rockstar + ShinyHunters (2026) — 오늘의 사례

ShinyHunters는 Rockstar를 직접 공격하지 않았습니다. Rockstar가 사용하던 클라우드 비용 모니터링 서비스 Anodot의 Snowflake 인스턴스를 침해했고, 그 연결을 통해 Rockstar 데이터에 접근했습니다. 결국 협상이 결렬되면서 7.5GB의 샘플 데이터가 다크웹에 공개됐습니다.

ShinyHunters는 Ticketmaster, Microsoft, AT&T 등 주요 기업들을 대상으로 한 침해로 알려져 있습니다. 이들의 방식은 회사를 직접 공격하는 것이 아니라 그 회사가 신뢰하는 서드파티 통합을 통해 침투하는 것으로, 이것이 그들을 탐지하기 어렵게 만드는 이유입니다.

2026년의 새로운 전선 — 개발자 환경

공급망 공격의 타깃이 기업 인프라에서 개발자 도구로 이동하고 있습니다.

GlassWorm이라는 2026년 현재 진행 중인 캠페인은 Visual Studio Code용 악성 Open VSX 확장 72개를 배포했습니다. 151개의 GitHub 저장소에 Unicode 페이로드가 포함되어 개발자 환경을 침해하도록 설계됐습니다.

2025년 TinyColor 사건에서 공격자들은 널리 사용되는 npm 패키지와 관련 패키지 수십 개에 악성 스크립트를 심어 개발자 토큰, 클라우드 자격증명, 시크릿을 수집하는 자기 전파 웜으로 만들었습니다.

개발자 컴퓨터 한 대를 침해하면 그 개발자가 접근할 수 있는 모든 시스템이 잠재적 타깃이 됩니다. CI/CD 파이프라인, 프로덕션 서버, 클라우드 인프라까지.

왜 탐지가 이렇게 어려운가

공급망 공격이 특히 위험한 이유는 정상적인 채널을 통해 이루어진다는 점입니다.

모든 주요 사례에서 악성 활동은 신뢰받고 서명된 정식 채널을 통해 전달됐습니다. 서명 기반 탐지 도구가 이를 잡아내지 못하는 이유이며, 사후 행동 이상 탐지만이 이를 식별할 수 있습니다.

SolarWinds는 9개월이 넘도록 탐지되지 않았습니다. 공격자들은 신뢰받는 소프트웨어 업데이트를 통해 조용히 이동하며 경보 한 번 울리지 않고 시스템을 침해했습니다.

악성 코드가 특정 조건에서만 실행되도록 설계되거나, 합법적인 트래픽처럼 위장하거나, 탐지를 피하기 위해 잠복 기간을 갖는 방식이 일반화됐습니다.

어떻게 대응해야 하는가

완벽한 방어는 없지만, 위험을 줄이는 실질적인 접근이 있습니다.

벤더 보안 평가를 지속적으로 해야 합니다. 계약 시 보안 감사 권리를 포함하고, SOC 2 Type II 인증을 요구하고, 침해 통지 타임라인을 계약서에 명시해야 합니다. 한 번 검증하고 끝내는 것이 아니라 지속적인 모니터링이 필요합니다.

최소 권한 원칙을 적용해야 합니다. 서드파티 벤더에게 필요 이상의 권한을 주지 않아야 합니다. Rockstar 사례에서 Anodot는 클라우드 비용 모니터링 도구였습니다. 이런 도구가 핵심 데이터에 접근할 수 있는 수준의 권한을 가져야 하는지 재검토가 필요합니다.

소프트웨어 자재 명세서(SBOM)를 관리해야 합니다. SBOM은 소프트웨어에 포함된 모든 컴포넌트를 추적하는 목록입니다. 어떤 오픈소스 라이브러리가 사용됐는지 알아야 Log4Shell 같은 취약점이 발견됐을 때 즉각 대응할 수 있습니다.

다크웹 모니터링도 선제적 방어 수단이 됩니다. 협력업체의 직원 자격증명이 스틸러 로그에 나타나면 공격이 실행되기 전 조기 경보 신호가 됩니다. 자신의 회사뿐 아니라 핵심 벤더들의 데이터도 모니터링해야 합니다.

신뢰가 무기가 됐다

공급망 공격이 이토록 효과적인 근본 이유는 하나입니다. 현대 소프트웨어와 비즈니스 운영이 상호 연결된 신뢰 위에 서 있기 때문입니다.

SolarWinds는 18,000개 조직이 신뢰했기 때문에 18,000개 조직의 침입구가 됐습니다. XZ Utils는 수십 년간 Linux 생태계가 쌓아온 오픈소스 신뢰 구조를 역으로 이용했습니다. Rockstar의 Anodot는 클라우드 비용을 절감해주는 신뢰받는 파트너였습니다.

공급망 공격은 단순히 기술적 취약점을 악용하는 것이 아닙니다. 현대 소프트웨어 개발의 상호 연결된 특성 — 모든 의존성, 패키지, 서드파티 서비스가 의도치 않은 관문이 될 수 있는 구조 — 를 악용합니다.

방어의 패러다임도 바뀌어야 합니다. "우리 시스템은 안전한가"에서 "우리가 신뢰하는 모든 것이 안전한가"로.

참고 출처: DeepStrike, Supply Chain Attack Statistics 2025 / Vectra AI, Supply Chain Attack 가이드 2026 / Cyberlab UK, Supply Chain Risk in 2026 (2026.04) / Breachsense, SolarWinds 사례 연구 (2026.04) / Orca Security, 공급망 공격 사례 분석 (2025.10) / OWASP Top 10 2025, A03 Software Supply Chain Failures / Cybernews, Rockstar Games 침해 보도 / Tom's Hardware, Rockstar 침해 상세 보도