/사진=임종철 디자인기자
8일 정보보호업계와 외신 등에 따르면 미국 국토안보부 산하 사이버안보·인프라보호청(CISA)은 지난달 29일(현지시간) 압축 앱 'XZ유틸즈(XZ-Utils)' 최신버전에서 악성코드가 발견됐다며 다운그레이드를 권고했다. 같은 날 미국 마이크로소프트 개발자 안드레스 프로인트(Andres Freund)가 보안위협을 보고한 데 따른 조처다.
실제로 미국 유명 SW기업 레드햇은 악성코드의 위험도를 만점으로 평가하면서 자사에서 내놓은 리눅스 계열 OS '페도라'에 대해 업데이트 배포를 취소했다. 업데이트에 문제된 XZ유틸즈 버전이 포함됐다는 이유에서다. 다만 RHEL(레드햇엔터프라이즈리눅스)을 비롯한 기업용 리눅스 대다수는 OS 업데이트가 비교적 느린 탓에 페도라와 같은 사고를 면한 것으로 전해졌다.
XZ유틸즈 개발자 포럼을 주도하던 기존 관리자는 '지아 탄의 개선된 소스코드가 제출됐는데도 제때 반영되지 않는다'는 민원이 잇따르자 지아 탄에게 관리자 권한을 부여했다. 사건 이후 해외 개발자 포럼에선 지아 탄이 차명 아이디로 각종 민원을 제출하는 등 여론을 조작했다는 의혹이 제기된 상태다.
정보보호업계에선 XZ유틸즈의 악성코드가 장기간 발견되지 않았다면 막대한 피해가 발생했을 것이라는 전망과 함께 '공급망 보안'에 대한 경각심이 필요하다는 지적이 나온다. 해커가 기업·기관의 전산망을 노리고 그 기업·기관이 의존하는 앱·서비스·네트워크 등에 먼저 침투하는 '공급망 공격'에 대응해야 한다는 주장이다.
이 시각 인기 뉴스
공급망 보안은 기업·기관용 IT(정보기술) 시스템에 탑재된 SW에 대해 명세서를 남기는 방안이 유력하게 거론되는 추세다. 미국 연방정부가 2021년 정부 조달 SW에 SBOM(SW 자재 명세서) 제출을 의무화한 이래 한국을 포함한 세계 각국은 SBOM 제도화를 추진하고 있다.