AppsFlyer Web SDK 공급망 공격: 암호화폐 탈취 코드의 위협과 대응 방안

2024년 6월, 글로벌 모바일 마케팅 및 분석 플랫폼인 AppsFlyer의 Web SDK가 공급망 공격(Supply-Chain Attack)의 표적이 되어 화제가 되고 있다. 이번 공격은 소프트웨어 공급망의 취약점을 악용한 정교한 사이버 공격으로, 악성 JavaScript 코드가 주입되어 암호화폐 탈취를 시도한 것으로 알려졌다.

사건 개요: AppsFlyer SDK 공급망 공격 발생

AppsFlyer는 전 세계 수천 개 기업이 사용하는 대표적 모바일 마케팅 및 분석 플랫폼이다. 2024년 초, 이 플랫폼의 Web SDK가 공격자에 의해 침해되었으며, 악의적인 JavaScript 코드가 주입되어 클라이언트 웹사이트와 애플리케이션으로 전파되었다.

공급망 공격은 신뢰할 수 있는 소프트웨어 공급업체를 대상으로 하여 그 제품을 사용하는 모든 고객에게 악성 코드를 확산시키는 방식이다. AppsFlyer 같은 널리 사용되는 SDK가 타깃이 될 경우, 영향을 받은 웹사이트와 앱의 수가 크게 증가하여 잠재적 피해 규모가 매우 커질 수 있다.

공격 방법: 악성 JavaScript 삽입과 암호화폐 탈취

공격자들은 AppsFlyer SDK의 업데이트 또는 빌드 과정에 침입해 악성 JavaScript 코드를 삽입했다. 이 코드는 사용자의 브라우저에서 실행되어 암호화폐 지갑 정보와 자격 증명을 탈취하는 기능을 수행하도록 설계되었다.

특히 이번 공격은 암호화폐 지갑을 직접 겨냥했다는 점에서 주목받는다. 암호화폐는 익명성과 탈중앙화가 특징으로, 공격자에게 한 번 탈취 시 추적이 매우 어렵다. 공격자는 사용자가 암호화폐 거래를 시도하거나 지갑에 접근할 때 민감한 인증정보를 가로채는 방식으로 탈취를 시도한 것으로 추정된다.

피해 및 조치: 신속한 공격 차단과 영향 평가

다행히도 이번 공격은 비교적 빠르게 탐지되었다. 보안 연구자와 AppsFlyer 팀이 비정상적인 코드를 감지해 즉각 대응했고, 침해된 SDK 버전을 신속히 식별해 격리한 후 고객에게 안전한 업데이트를 배포했다.

조기 대응 덕분에 피해는 최소화된 것으로 보이나, 정확한 피해 규모와 영향을 받은 사용자 수는 아직 공식 발표되지 않았다. 신속한 발견과 차단은 지속적인 보안 모니터링과 경계심 있는 운영이 있었기에 가능했다.

공급망 보안의 중요성: 의존 위험과 취약점

이번 사건은 현대 소프트웨어 개발 환경에서 서드파티 라이브러리와 SDK 의존이 얼마나 중요한 보안 리스크를 내포하고 있는지 보여준다. 기업들은 빠르고 효율적인 개발을 위해 다양한 외부 구성 요소를 활용하지만, 이러한 의존성은 때로 알 수 없는 취약점을 내부로 유입시킨다.

OWASP Top 10 2023에서도 취약하거나 오래된 컴포넌트(A6) 사용이 주요 보안 위험으로 제시되고 있다. 개발팀이 사용하는 모든 라이브러리와 프레임워크의 보안을 보장하지 못하면, 공급망을 통한 공격에 쉽게 노출될 수 있다.

전문가 권고: 코드 무결성, 탐지, 의존성 관리

산업 전문가들은 다음과 같은 핵심 보안 조치를 권고하고 있다:

• 코드 무결성 검증: 모든 SDK와 라이브러리의 무결성을 검증하는 서명 확인 메커니즘을 구축해야 한다.
• 탬퍼 탐지 기능: 애플리케이션 코드가 변조되지 않았는지 실시간 점검하는 시스템을 배치해야 한다.
• 의존성 검토: 사용하는 서드파티 구성 요소의 보안 패치 및 업데이트 상태를 정기적으로 확인해야 한다.
• 지속적 모니터링: SDK나 라이브러리 업데이트 시 비정상 동작을 빠르게 분석할 수 있는 체계를 마련해야 한다.

최근 공급망·암호화폐 공격 트렌드 분석

최근 몇 년간 공급망 공격이 급증하고 있으며, 암호화폐를 겨냥한 사례도 눈에 띄게 늘고 있다. 공격자들은 고가치 자산을 노리는 암호화폐 사용자를 타깃으로 하위 공급망을 침투해 더 큰 이득을 얻으려 한다.

2024년 현재 웹 애플리케이션을 대상으로 하는 공급망 공격은 npm, PyPI 같은 패키지 저장소 침해, 빌드 과정 교란, 개발자 계정 탈취를 통해 악성 코드가 유입되는 형태로 다양해지고 있다. 이처럼 공격의 발견이 쉽지 않고 영향 범위가 넓기 때문에 위험성이 더욱 높아지고 있다.

조직이 취할 대응 전략

조직들은 공급망 공격에 대비해 다음 전략을 수립해야 한다:

첫째, SBOM(Software Bill of Materials, 소프트웨어 구성 요소 목록)을 작성하고 관리하여 사용하는 각각의 소프트웨어 요소를 파악해야 한다. 둘째, 서드파티 컴포넌트의 보안 평가를 정기적으로 실시하고, 신뢰할 수 없는 출처의 라이브러리 사용을 제한해야 한다. 셋째, 인시던트 대응 계획을 마련해 공급망 공격 발생 시 신속한 대응과 복구를 준비해야 한다.

더불어 개발팀원들의 보안 인식을 높이고, 안전한 개발 생명주기(SDL)를 도입해 초기 코딩 단계부터 보안 취약점을 줄이는 노력이 요구된다.

결론 및 전망

AppsFlyer SDK 공급망 공격 사건은 소프트웨어 보안에서 공급망의 취약성이 얼마나 심각한 결과로 이어질 수 있는지를 잘 보여준다. 암호화폐 탈취에 목적을 둔 공격은 앞으로 더욱 정교하고 다양해질 가능성이 있다.

기업들은 서드파티 의존성이 야기하는 위험을 명확히 인식하고, 코드 무결성 검증, 지속적 모니터링, 체계적 의존성 관리 등으로 공급망 보안을 강화해야 한다. 안전한 소프트웨어 생태계를 구축하려면 개발자, 보안팀, 관리자 모두가 협업해 종합적 보안 전략을 준비하는 것이 필수적이다.