해커 세력이 널리 사용되는 애플리케이션 보안에 침입해 자체 코드를 기기 수천 대 혹은 수백만 대로 유포하는 소프트웨어 공급망 공격은 심각한 문제를 일으키며, 위험하면서 공격의 영향력이 확산되는 영역이 매우 광범위할 수도 있다. 그러나 최근 발생한 주요 소프트웨어 공급망 공격 중 북한 정부를 위한 활동을 개시하는 해커 세력이 일반 인터넷전화(VoIP) 애플리케이션인 3CX의 설치 프로그램에 자체 악성 코드를 유포한 사례가 있다. 해당 공격은 소수 암호화폐 기업을 표적으로 삼았다는 상상하지 못한 목표로 개시되었다.
러시아 사이버 보안 기업 카스퍼스키(Kaspersky) 연구팀은 4월 3일(현지 시각), 소규모 암호화폐 전문 기업이 2023년 3월 말, 일주일 내내 발견된 3CX 공급망 공격의 표적이라는 사실을 확인했다고 발표했다. 카스퍼스키 연구팀은 피해 기업 공개를 거부했으나 피해 기업이 서아시아에 본거지를 둔 기업이라고 전했다.
3CX 관계자가 밝힌 바와 같이 일주일 전, 보안 기업 크라우드스트라이크(CrowdStrike)와 센티넬원(SentinelOne)이 전 세계 60만 곳에 이르는 기관이 사용하는 3CX 설치 소프트웨어 보안 공격을 북한 해커 세력의 작전이라고 경고했다. 센티넬원이 ‘원활한 공격 작전’이라고 칭한 해당 공격은 잠재적 피해 범위가 매우 넓지만, 카스퍼스키 연구팀은 해커 세력이 손상된 소프트웨어에 감염된 피해 기업을 신중하게 찾아내고는 최종 표적을 10개 미만 기업으로 지정했다. 특히, 해커 세력은 공격 대상을 암호화폐 전문 기업으로 매우 정확하게 지정했다.
카스퍼스키 보안 애널리스트 GReAT팀 소속 연구원 조지 쿠체린(Georgy Kucherin)은 “소수 기업에 피해를 주려는 공격이었다. 그 표적은 단순히 암호화폐 기업만이 아닐 수도 있다. 그러나 이번 공격에서 해커 세력이 관심을 보인 대상 중 한 곳이 암호화폐 기업이라는 점을 확인했다”라며, “암호화폐 기업이 유독 이번 3CX 공급망 공격을 걱정해야 할 것이다. 공격 표적이 될 수도 있기 때문이다. 따라서 추가 보안 피해 확인 차원에서 자체 시스템을 스캔해야 한다”라고 경고했다.
[사진=Freepik]
카스퍼스키는 연구를 통해 발견한 바의 결론으로 간혹 3CX 공급망 공격 세력이 궁극적으로 피해자 기기에 고푸람(Gopuram)이라는 이름으로 알려진 다용도 백도어 프로그램을 심으려 했다고 제시했다. 연구팀은 고푸림이 공격망의 최종 피해를 줄 수 있는 요소라고 전했다. 카스퍼스키 연구팀은 고푸람의 등장이 북한의 흔적을 나타내기도 한다고 말했다. 과거, 고푸람이 북한 해커 세력과 관련된 멀웨어인 애플제우스(AppleJeus)로 같은 네트워크 공격에 동원된 사례가 있었다. 또한, 고푸람이 애플제우스로 같은 명령 및 제어 인프라를 연결한 사례와 고푸람이 암호화폐 기업을 공격 표적으로 삼은 사례도 발견되었다. 모두 3CX 공격이 북한 해커 세력의 소행이라는 사실은 물론이고, 암호화폐 탈취 목적으로 암호화폐 기업 보안 침입이라는 의도로 공격을 개시했을 가능성을 시사하는 부분이다. 실제로 김정은 정권의 자금 확보 명령에 따라 북한 해커 세력이 보편적으로 택하는 전략이기도 하다.
고도로 교묘한 공격 수법을 동원하는 국가 산하 해커 세력이 소프트웨어 공급망을 악용해 수천 개 기관의 네트워크에 접근하고는 소수 피해 기관에만 집중적으로 타격을 가하는 일이 반복되었다. 2020년 발생한 악명 높은 공격망 공격인 솔라윈즈 사태 당시 러시아 해커 세력은 IT 모니터링 소프트웨어 기업 오리온(Orion)의 보안을 침입하고는 피해 기관 1만 8,000곳을 대상으로 악성 업데이트를 유도했다. 그러나 실제로 전체 피해 기업 중 단 10여 곳의 데이터만 탈취한 것으로 드러났다. 또, CCleaner 소프트웨어의 초기 공급망 공격 사례에서 바륨(Barium) 혹은 위키드판다(WickedPanda)라는 이름으로 알려진 중국 해케 세력이 PC 70만 대에 보안 피해를 주었다. 그러나 솔라윈즈 사태와 마찬가지로 상대적으로 적은 테크 기업만 공격 표적으로 선택했다.
솔라윈즈 사태 분석 후 러시아 해커 조직과의 관련성을 시사하는 단서를 찾은 쿠체린 연구원은 “불특정 다수 기업에 피해를 준 뒤 소수 기업만 공격 대상으로 선택하는 공격은 매우 흔하다. 공급망 공격이 발생하는 동안 해커 세력은 피해자 네트워크를 정찰하고 정보를 수집한 뒤 정확한 정보를 분류하고는 두 번째 단계에서 멀웨어를 배포할 피해 기관을 선정한다”라고 설명했다. 쿠체린 연구원이 지적한 바와 같이 공격 대상 분류 과정은 해커 세력이 보안 감지를 피하는 데 도움이 된다. 두 번째 공격 단계에서 너무 많은 기업에 멀웨어를 배포한다면, 공격 감지가 쉽기 때문이다.
그러나 쿠체린 연구원은 3CX 공급망 공격 감지 속도가 다른 공급망 공격보다 상대적으로 더 빠른 편이었다는 점에 주목했다. 해커 세력이 정찰 목적으로 이용한 것으로 드러난 초기 멀웨어 설치 과정은 크라우드스트라이크와 센티넬원이 2023년 3월 말, 먼저 감지했다. 감지 시점은 실제 멀웨어 설치 후 얼마 지나지 않은 시점이었다. 쿠체린 연구원은 “해커 세력은 몰래 공격을 개시하려 했으나 실패했다. 멀웨어 유포 첫 번째 단계에서 발각됐다”라고 말했다.
초기 감지 사실을 고려하면, 지금까지 3CX 공급망 공격이 얼마나 성공했는지 확실하지 않다. 쿠체린 연구원은 카스퍼스키 연구팀이 고푸람 멀웨어 공격 대상이 된 기업의 실제 암호화폐 탈취 피해 증거를 찾지 못했다고 전했다.
그러나 센티넬원 보안 연구원 톰 헤겔(Tom Hegel)은 3CX 공급망 공격으로 수십만 곳에 이르는 기업이 피해를 보았을 위험성을 고려하면, 해커 세력이 암호화폐 기업만 공격 대상으로 선정했다고 결론을 내릴 수 없다고 지적한다. 헤겔 연구원은 “현시점에서 제시할 수 있는 이론은 해커 세력이 암호화폐 기업을 초기 공격 표적으로 삼고, 추후 높은 가치를 기록한 기관의 네트워크에 침입하려 한다는 점이다. 개인적으로 북한 해커 세력이 암호화폐 기업을 공격한 뒤 기업 가치가 높은 기업을 공격 대상으로 선정하는 데 성공했다고 본다. 그리고 해커 세력이 침입한 기업 네트워크를 보면, 다른 공격도 발생했을 수도 있다”라고 진단했다.
현재 헤겔 연구원은 3CX 공급망 공격의 전체적인 상황이나 정확한 목표를 확신할 수 있는 보안 기업은 단 한 곳도 없다고 말한다. 그러나 북한 해커 세력이 실제로 전 세계 60만 개 기관이 사용하는 소프트웨어 보안에 침입하고 소수 기업을 대상으로 암호화폐를 탈취하려 했다면, 훨씬 더 중요한 핵심 정보를 버린 것과 같은 행동이라고 볼 수 있다.
헤겔 연구원은 “모든 상황이 매우 빠른 속도로 전개되고 있다. 피해 기업의 자세한 정보를 계속 확보할 수 있을 것이다. 그러나 해커 세력에는 암호화폐 기업만 노렸다면, 중대한 기회를 낭비한 셈이다”라고 분석했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202304/4675_6137_721.jpg)
뉴스레터 신청