(OSCkorea) Nexus Firewall을 통한 방어전략

https://youtu.be/iY3T7YPZz2M

 

Sonatype 에서 개발한 저장소 관리자 프로젝트

 

오픈소스 코드가 미치는 영향이 커지는 만큼 그 리스크 또한 같이 증가하고 있다고 한다.

상업 라이센스의 영향력이 줄어들고 오픈소스의 영향력이 계속해서 커지고 있는 중 이런 리스크는 오픈소스 워크로드 도입에 부담이 될 수 있다고 생각했다.

오픈소스가 대세가 된 데 기여한 기업들을 뒤이어 최근에는 트위터나 구글같은 경우도 자신들이 개발한 알고리즘이나 라이브러리를 공개하는 일도 많았던 것으로 기억한다.

 

사이버범죄는 다양한 형식으로 가파르게 증가하고 있다고 한다.

국내에도 DDoS 나 중국발 해킹사건, 은행 해킹사건등이 다뤄졌던것이 기억난다.

 

사전에 취약성을 만들어 배포한다는 내용은 생소했다.

악성 도커 이미지를 생성한다던가, 오타를 노린 가짜 사이트를 만드는 방식

 

공격자의 입장에서 가장 효율이 좋은 공격이라고 배웠었다.

이런 공급망 공격의 예를 찾아보니 카세야(Kaseya) 의 VSA 가 공급망 공격에 당해 MSP 기업들이 수많은 고객사의 네트워크가 감염되어 수만~수십만개의 조직들을 공격하는데 성공했다고 한다.

제일 위의 공급망을 하나를 노려 수십만개의 표적을 만들어낸 공격인데, 430% 증가했다고 한다.

 

비슷해보이는 가짜 라이브러리를 퍼블릭에 배포해서 사용자가 패키지 관리자를 통해 다운받게 하는 공격이라고 한다.

오타를 내서 잘못 입력했더라도 개발자도 사람이다보니 체크하지 못할 수 있고, 오류 또한 나오지 않을것이니 찾아내기 힘들것이라고 한다.

 

이 공격 방식은 이미 배포된 이미지와 동일한 이름으로 해킹된 최신 버전을 릴리즈해서, 만약 개발자가 pull 해올 때 사용하는 리포지토리에 있는 의존성보다 최신 버전을 자동으로 사용하게 될 수 있는 상황을 노린 공격 방식이라고 한다.

사설 저장소에서만 이루어지는 작업은 흔치 않기 때문에 공개된 저장소에서 의존성을 다운받는 일이 많은 점을 이용한 공격방식인것 같다.

 

바로 예시를 들어주셧는데, 위 빨간색으로 칠해진 패키지들을 사용할 때 버전 설정을 조금만 잘못해도 의도된 내부 패키지 대신 빌드 툴에 의해 자동으로 다운로드 받아질 수 있다고 한다.

 

위 같은 저장소 관련 공격을 방지하기 위해 고안된 툴이 100% 오픈소스로 공개된 Nexus 라고 한다.

Firewall, Lift, Repository, Lifecycle, Container 로 이루어져있다고 하는데

이번 웨비나에서는 Firewall 을 중점적으로 다룬다고 한다

 

취약한 컴포넌트가 SDLC내로 유입되는것을 방지한다고 한다.

잘 알려진 위험은 물론 잘 알려지지 않은 리스크도 막을 수 있다고 하는데 인공지능을 사용한다고 한다.

 

Nexus 를 도입한 회사에 대한 이야기였다.

salesforce 는 직접 라이브러리를 관리해서 보안 유지에 상당한 시간과 인력이 소요됬었따고 하는데 위 outcomes 처럼 보안 취약성 관리 소요시간을 획기적으로 단축하고 무결성까지 검증했다고 한다.

 

인공지능 기반 오픈소스 유입 정책을 수립하여 제어한다고 한다.

잘 알려진 위험 개체는 바로 격리하고, 위험성이 있는 개체는 검사 후 격리 혹은 릴리즈, 안전한 개체는 정책에 따라 자동으로 릴리즈 된다고 한다

유명한 npm 뿐 아니라 다양한 언어를 지원한다고 한다

 

넥서스 인텔리전스

MVD (미국정부산하 취약성 관리DB) 보다 속도가 10배 빠르다고 한다.

글로벌 최대 DB를 기반으로 한다고 하는데 경쟁사보다 70%이상 많은 양이라고 한다.

 

이후 데모는 쭉 훑어봤다.

 

개발자가 PUSH 해서 파이프라인 상 빌드될때 의존성을 가져오게 되는데 이를 NEXUS 가 걸러내서 격리해주는 작업이였다.