[아이뉴스24 김국배기자] 소프트웨어(SW) 개발·배포 단계에 악성코드를 숨기는 '공급망 공격(supply chain attack)' 위협이 고조되고 있다.
사용자 입장에서는 SW 공급업체가 합법적인 SW를 배포한다고 신뢰했다가 악성코드가 삽입된 프로그램을 다운로드 받는 셈이어서 우려가 커진다.
더욱이 최근 공격에서는 사이버 스파이 조직의 활동 가능성까지 제기되는 상황이다.
25일 사이버 보안 업계에 따르면 최근 몇 달 새 공급망 공격 사례가 잇따라 발견되고 있다.
실제로 넷사랑(NetSarang)컴퓨터의 서버관리 SW과 어베스트(Avast)의 PC최적화 도구인 '씨클리너(CCleaner)'가 연달아 공급망 공격을 받았다.
씨클리너는 어베스트가 최근 인수한 피리폼(Piriform)이 개발한 SW로, 총 다운로드 수가 20억 회가 넘을 정도로 대중적인 프로그램이다. 일주일에 500만 명꼴로 신규 사용자가 생기고 있다. 넷사랑 서버관리 SW 역시 세계적으로 수백 개 대기업이 사용하는 것으로 알려져 있다.
공격자들은 SW를 변조해 사용자들이 프로그램을 설치할 때 악성 모듈을 내려받게 했다. 씨클리너 5.33(PC), 클라우드 버전(1.07.3191)과 넷사랑 엑스매니저 등이 피해를 입었다. 씨클리너 5.33 버전의 경우 지난 8월 15일부터 약 한 달 간 배포됐다.
악성 씨클리너 프로그램은 감염된 컴퓨터에서 데이터를 훔치고 공격자의 명령제어(C2) 서버로 전송한다. 넷사랑 서버관리 SW에 숨어있던 악성코드는 8시간에 한 번씩 C2 서버로 감염 시스템 정보를 보냈다. 해커 지시에 따라 백도어 플랫폼이 추가 악성코드를 다운로드할 수 있는 상태였다.
보안 업계 관계자는 "공급망 공격은 광범위해서 성공을 거둘 경우 수많은 컴퓨터 시스템이 위험에 처할 수 있다"며 "분명 비슷한 공격이 더 많아질 것"이라고 예상했다.
특히 이번 공격은 공통적으로 사이버 스파이 활동일 가능성이 제기된 상태다.
씨클리너 해킹 조직은 특정 테크 기업들의 지적재산권을 노렸다는 분석이 나왔다.
시스코 탈로스 인텔리전스는 악성 씨클리너 프로그램이 설치된 PC에서 자사를 비롯해 삼성전자, 마이크로소프트, 인텔, 소니, VM웨어, HTC그룹 등 20여 개 특정 기업 도메인에 접속할 때 2차로 악성코드를 보내는 시도를 발견했다.
넷사랑 SW 문제를 처음 제기한 카스퍼스키랩은 넷사랑 해킹 조직 용의자로 중국 사이버 스파이 조직으로 알려진 '윈티(Winnti) APT'를 언급했다.
넷사랑 해킹 공격에 쓰인 악성코드 '섀도패드(ShadowPad)'가 윈티 APT 조직이 사용하는 악성코드 '플러그엑스'의 변종일 가능성이 있다는 이유에서다. 섀도패드는 홍콩에서도 발견된 바 있다.
다만 카스퍼스키랩은 "확실히 연결짓기는 아직은 근거가 불충분하다"고 단서를 달았다.
한편 현재 해당 SW들은 최신 업데이트를 통해 문제를 해결했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기