해커가 정통한 애플리케이션을 공격해 수십만 명의 피해자를 낳을 수도 있는 멀웨어를 배포하는 공급망 공격은 모두 사이버 보안 골칫거리이다. 그러나 의문의 해커 조직이 공급망 공격을 개시하여 마이크로소프트의 신뢰 소프트웨어 모델을 악용해 멀웨어를 정통한 소프트웨어처럼 나타낸다면, 위험하면서 새로운 해커 조직을 관찰할 필요가 있다는 의미이다.
2023년 8월 22일(현지 시각), 브로드컴 소유 보안 기업인 시맨텍(Symantec)의 위협 추적팀 소속 연구원이 ‘카더비(CarderBee)’라는 이름을 지정한 새로운 해커 조직의 공급망 공격을 탐지했다. 시맨텍은 카더비 해커 세력이 코브라 독가드(Cobra DocGuard)라는 중국의 보안 소프트웨어의 소프트웨어 업데이트 사항 일부분을 탈취하고, 주로 홍콩을 중심으로 한 아시아 전역의 컴퓨터 100여 대에 멀웨어를 주입했다고 설명했다. 해커 세력이 독가드와 같은 악용 사항과 피해자 기기에 설치한 멀웨어 등 일부 단서는 카더비가 과거 중국 정부 산하 해킹 작전과 약간 관련이 있다는 사실을 확인할 수 있었다. 그러나 시맨텍 측은 카더비를 과거에 이미 널리 알려진 해커 세력과 같은 세력임을 확인하는 것을 거부했다. 카더비가 새로 등장한 해커 조직일 가능성을 시사하는 부분이다.
모든 소프트웨어 공급망에서 발생하는 정통 소프트웨어 내 일반적인 신뢰성 파괴 이외에도 카더비는 코플러그(Korplug) 혹은 플러그X(PlugX)라는 이름과 주로 중국 해커 세력 사이에서 보편적인 백도어인 악성 코드가 마이크로소프트에 디지털 서명을 하도록 했다. 마이크로소프트가 일반적으로 신뢰할 수 있는 코드를 지정하도록 하는 서명은 멀웨어 탐지가 훨씬 더 어려워지도록 한다.
시맨텍 연구팀 수석 정보 애널리스트 딕 오브라이언(Dick O'Brien)은 “공급망 공격을 조사할 때마다 어느 정도 흥미로운 사항을 보게 된다. 그러나 수법의 교묘함 수준에서는 매우 앞서 있다. 운영자가 공격 개시 사항을 알고 있다는 특징이 있다”라고 말했다.
[사진=Freepik]
기관 내 사용자 시스템의 권한을 기반으로 암호화와 보호 기능을 지원하는 보안 소프트웨어인 코브라 독가드는 사용자 수가 약 2만 명이라는 역설적인 사실에도 주목할 수 있다. 따라서 해커가 명령 실행부터 키보드 입력 기록까지 각종 멀웨어 설치 대상으로 사용자 100명이나 기기 100대를 지정했다고 가정해보자. 이때 해커 세력은 다른 잠재적 피해자 수천 명을 분리하여 특별히 공격 대상으로 삼았을 수도 있다. 시맨텍은 카더비가 지정한 피해자나 정부 혹은 민간 기업의 대규모 피해 발생 여부를 밝히지 않았다.
코브라 독가드 애플리케이션은 보안 기업 Ns포커스(Nsfocus)가 소유한 이세이프넷(EsafeNet)을 통해 배포되었다. Ns포커스는 2000년 설립됐으나 이제는 캘리포니아주 밀파타스 지역에 본사를 두었다고 설명한다. 시맨텍은 카더비가 기업 애플리케이션 보안을 마비시킨 방법을 설명할 수 없다고 말한다. 애플리케이션 보안 공격은 상당수 소프트웨어 공급망이 개발 과정을 방해하려 소프트웨어를 공격하는 해커 세력의의 다수 공급망 공격에서 볼 수 있는 부분이다. Ns포커스는 와이어드팀의 문의에 답변하지 않았다.
코브라 독가드(Cobra DocGuard)가 멀웨어 유포에 악용한 사례를 최초로 발견한 것은 시맨텍이 아니다. 사이버 보안 기업 이셋(ESET)은 2022년 9월, 같은 애플리케이션의 악성 업데이트가 홍콩 도박 기업 웹사이트 보안을 침해하고, 변종 코드인 코플러그 코드를 심은 사실을 발견했다. 이셋은 당시 피해를 겪은 도박 기업이 2021년에도 같은 수법으로 사이버 공격 피해를 본 사실을 확인했다.
이셋은 러키마우스(LuckyMouse), APT27, 버드웜(Budworm) 등 중국에서 활동하는 것으로 널리 알려진 해커 조직의 초기 공격을 발견하고, 10여 년 전 정부 기관과 항공우주 산업 및 방위산업체 등 정부 관련 산업체를 공격 대상으로 삼은 사실을 발견했다. 그러나 코플러그와 코브라가드의 관련성에도 불고하고 시맨텍은 과거 발생한 공격의 배후가 된 것으로 발견된 해커 조직의 더 광범위한 공급망 공격과의 관련성을 확신하기 이르다고 보았다.
오브라이언은 “어느 한 APT 조직이 소프트웨어 보안을 공격하면, 해당 소프트웨어가 같은 유형의 공격에 취약해지면서 다른 해커 조직도 같은 수법을 이용할 수 있다고 확신할 수 없다”라고 말했다. APT는 ‘교묘하면서도 계속 발생하는 공격’을 의미하며, 사이버 보안 업계에서 통상 정부 산하 해커 조직을 칭하는 표현이기도 하다. 오브라이언은 “섣불리 결론을 내리고 싶지 않다”라고 덧붙여 전했다. 또, APT41 혹은 바륨(Barium)이라는 이름으로 알려진 또 다른 해커 세력도 여러 가지 공급망 공격을 개시하고, 코플러그를 사용한 점에 주목했다. (바륨은 다른 해커 조직보다 공급망 공격 개시 빈도가 더 많은 것으로 추정된다.)
카더비 해커 세력은 공급망 공격 탐지를 피할 수 있는 수준을 강화하기 위해 마이크로소프트를 어느 정도 속여 멀웨어에 정통성을 추가로 부여했다. 마이크로소프트가 윈도 하드웨어 호환성 퍼블리셔(Windows Hardware Compatibility Publisher)에 사용하는 인증서로 코플러그 백도어에 신뢰할 수 있는 코드를 부여하도록 속이고, 백도어가 실제보다 더 안전한 정통 소프트웨어로 보이도록 했다. 윈도 하드웨어 호환성 퍼블리셔는 보통 개발자가 마이크로소프트에 기업 기관으로 등록하고, 직접 생성한 개발자 계정이나 다른 등록된 개발자 계정을 얻는 방식을 통해 마이크로소프트 서명을 얻도록 한다. 마이크로소프트는 해커 세력의 공급망 공격에 동원된 멀웨어에 서명하게 된 과정과 관련하여 추가 정보를 요청한 와이어드의 연락에 답변하지 않았다.
마이크로소프트가 서명한 멀웨어는 오랫동안 문제가 된다. 미국 국가안전보장국(NSA) 해커 출신인 응용 네트워크 보안 연구소(Institute for Applied Network Security) 교수인 제이크 윌리엄스(Jake Williams)가 언급한 바와 같이 등록된 개발자 계정 접근성은 해커 세력의 공격 장벽이 되는 부분이다. 그러나 등록된 개발자 계정 획득 후 마이크로소프트는 등록된 개발자 코드 점검을 두고 허술한 접근 방식을 택한다. 실제로 마이크로소프트의 서명은 멀웨어 탐지가 더 어려워지도록 하는 요소이다. 윌리엄스는 “많은 이들이 정보 위협을 찾아내려 하지만, 마이크로소프트가 서명한 대상은 탐지 대상에서 제외한다”라고 지적했다.
코드 서명과 제대로 개시한 공급망 공격이 더해진 점은 홍콩이나 아시아 국가를 겨냥한 이번 공격 이외에도 카더비의 다른 공격도 특별히 추적할 필요가 있을 정도로 교묘한 공격을 개시한다는 사실을 시사한다. 오브라이언은 중국을 사이버 공격 조사 대상에 포함하지 않았더라도 카더비의 공격은 특별히 조사할 필요가 있다고 전했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202308/4968_6486_2153.jpg)
뉴스레터 신청