[아이뉴스24 김혜경 기자] 북한 연계 해킹조직이 '3CX'라는 기업용 소프트웨어(SW)의 취약점을 악용해 공급망 공격을 시도한 사실이 알려지면서 각별한 주의가 요구된다. 국내에서도 공격 시도가 포착된 가운데 특정 SW를 이용한 공급망 공격이 또 다른 공격으로 이어지는 연쇄적인 공급망 침해라는 분석이 나온다.
28일 보안업계에 따르면 맨디언트 등은 최근 3CX 데스크톱 애플리케이션(앱)을 통해 멀웨어(악성 소프트웨어)가 확산되는 현상을 포착했다. 3CX는 인터넷전화(VoIP) 솔루션 제공업체로 채팅과 영상·음성 통화 기능 등을 지원한다. 전 세계 190개국 60만곳이 고객사로 등록돼 있으며 일일 사용자는 1천200만명이 넘는다.
복수의 미국 보안기업들은 북한을 이번 공격 배후로 지목했다. 지난달 말 윈도우와 맥 운영체제(OS)용 데스크톱 앱에서 악성코드가 발견된 데 이어 3CX 공급망 침해 조사 과정에서 또 다른 SW가 악용된 것으로 나타났다.
맨디언트는 "초기 침입 벡터(경로)는 트레이딩 테크놀로지스에서 제공하는 '엑스트레이더'로 금융 거래 목적으로 사용되는 SW"라면서 "지난해 3CX 직원이 해당 SW의 멀웨어 버전을 내려받은 것으로 확인됐다"고 전했다. 다만 엑스트레이더의 경우 2020년 종료돼 악성 버전을 더 이상 사용할 수 없으므로 현재 위협 정도는 상대적으로 낮은 것으로 나타났다.
이번 3CX 공급망 공격은 복수의 SW 공급망을 활용한 공격이라는 점에서 중요하다. 맨디언트는 "3CX는 기업 고객이 많으므로 만약 조기에 발견되지 않았을 경우 피해 규모는 더 컸을 것"이라며 "북한 위협 행위자들의 사이버 공격 능력이 진화했다는 점을 방증하는 사례"라고 했다.
프루프포인트에 따르면 지난해 전 세계 기업 가운데 69%가 공급망 침해를 겪은 것으로 나타났다. 국내 보안업계 한 관계자는 "일반적으로 공급망 공격은 공격자가 SW 업데이트 시기를 노려 업데이트 모듈을 가로챈 후 악성코드로 바꾸는 방식"이라며 "연쇄적인 형태의 공급망 공격은 그동안 거의 발견되지 않았다"고 말했다.
이어 "SW 이용자가 많을수록 파급력은 커질 수밖에 없고 대규모 인프라 침투 가능성도 높아진다"며 "다만 국내에서는 3CX를 사용하는 기업이 상대적으로 적은 것으로 판단되는데 국내 이용 현황과 공격 목적 등을 면밀하게 들여다볼 필요가 있다"고 덧붙였다.
맨디언트는 공격 주체를 'UNC4736'으로 보고 있다. ESET 등 일부 보안기업은 북한 정찰총국 산하 해킹조직인 '라자루스'를 지목하기도 했다. 이번 공격의 목적으로는 정보 수집과 금전 탈취 등 다양한 분석이 제기되고 있다.
이번 공급망 공격이 알려지기 전 국내 한 대학에서도 3CX 취약점을 악용한 공격 시도가 포착됐다. 안랩은 지난달 초 자사의 '스마트 디펜스(ASD)' 로그를 통해 국내 감염 여부를 확인하고 알린 바 있다.
양하영 안랩 시큐리티대응센터(ASEC)장은 "공격자는 취약점 패치를 진행하지 않은 3CX 데스크톱 앱 사용 조직을 대상으로 정보 탈취 등 악성 행위를 수행할 수 있다"며 "기업과 기관에선 사용 중인 SW를 확인하고 취약점을 패치하거나 대체 솔루션을 사용해야 한다"고 말했다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기