비트코인만 좋아하는 줄 알았던 라자루스도 공급망 공격 실시해

2021-10-27 13:59
  • 카카오톡
  • url
라자루스가 최근 한국과 라트비아의 IT 업체 두 곳을 공격했다. 모두 해당 업체의 고객사들을 노리기 위한 것으로 보인다. 올해 대대적으로 유행한 공급망 공격이 라자루스에게도 적잖은 영감을 준 것으로 보인다.
 
[보안뉴스 문가용 기자] 북한의 악명 높은 해킹 단체인 라자루스(Lazarus)가 IT 공급망에 관심을 가지고 있다는 증거가 최근 자주 발견되고 있다. 보안 업체 카스퍼스키(Kaspersky)는 최근 라자루스가 진행한 공격 캠페인 두 건을 적발했다고 발표하며 IT 기업 한 군데의 네트워크가 침해된 부분을 주목해야 한다고 주장했다. 해당 기업이 아니라 그 기업의 고객사들을 노린 것으로 보이기 때문이다.
 

[이미지 = utoimage]

카스퍼스키에 의하면 라자루스가 최근 침해한 건 한국의 보안 소프트웨어 벤더사라고 한다. 공격자들은 이 회사의 네트워크에 침투한 뒤, 한국의 한 싱크탱크 조직에 원격 접근 트로이목마인 블라인딩캔(Blindingcan)과 코퍼헤지(Copperhedge)를 심었다고 한다. 이 두 가지 RAT은 지난 5월과 8월 미국 CISA가 조심하라고 경고한 라자루스의 공격 무기다. 당시 CISA는 “라자루스가 이 두 가지 도구를 통해 피해자의 시스템에 지속적으로 드나들고 있다”고 발표했었다.
 
그 다음 라자루스는 라트비아에 있는 IT 자산 관리 제품을 개발해 판매하는 업체를 공격한 것으로 밝혀졌다. 해당 업체 침해 후 라자루스는 또 다시 코퍼헤지 백도어를 심었다. “공격자들은 매우 교묘하여 코퍼헤지 멀웨어가 메모리에서만 실행되도록 했습니다.” 카스퍼스키의 수석 보안 연구원인 아리엘 융하이트(Ariel Jungheit)의 설명이다. “다만 해당 라트비아 업체에서 개발하는 제품들까지 라자루스가 침해했는지 안 했는지는 아직 알 수 없습니다. 했다면 사용자들 사이에서 피해가 계속 확산할 것입니다.”
 
융하이트는 “최근 적발된 라자루스의 캠페인 모두가 여러 고객사를 둔 IT 업체라는 건, 라자루스가 IT 공급망 공격에 눈을 떴다는 뜻으로 해석된다”고 설명한다. 이 해석이 어색하지 않은 건 올 한 해 유독 IT 공급망이 연루된 대형 사이버 보안 사건이 많이 터졌기 때문이다. 러시아 노벨륨(Nobelium)은 솔라윈즈(SolarWinds)를 침해했고, 유명 FTA 개발사인 액셀리온(Accellion)도 당했으며, 깃허브, PyPl, 도커 허브 등 개발자들의 코드 공유 사이트들도 끊임없는 공격에 시달렸다.
 
작년과 올해 커다란 골칫거리가 되고 있긴 하지만 공급망 공격이라는 건 예전부터 존재해 왔다. 2019년 바륨(Barium)이라는 공격 단체는 하드웨어 제조사인 에이수스(Asus)의 소프트웨어 업데이트 시스템을 감염시키고, 이를 통해 에이스수 고객사들에 멀웨어를 퍼트렸었다. 이 공격은 셰도우해머 작전(Operation ShadowHammer)으로 알려져 있고, 멀웨어는 40만 대가 넘는 시스템에서 발견됐다. 



카스퍼스키의 수석 연구원인 데이비드 엠(David Emm)은 “최근 사이버 공격자들은 대대적으로 공급망 공격을 실시하고 있다”며 “한 업체만 공격하면 그 영향력이 일파만파 퍼져가는 높은 효율성을 보이기 때문”이라고 설명한다. “공급망 공격은 결국 기업과 기업들이 상호간에 쌓아온 신뢰를 공략하는 것이기 때문에 효과적입니다. 그 신뢰가 있어서 우리는 사업을 하고, 그 신뢰가 있어 우리는 다양한 일들을 할 수 있거든요. 단순 ‘침해’ 이상의 장기적 피해를 우리에게 주고 있는 겁니다.”
 
엠은 “공급망 공격이 방어하는 편에서 대단히 불리하게 작용하는 건, 공격자들 입장에서는 기존에 해왔던 것과 비슷한 공격을 하는 것이지만 방어자에게는 전혀 새로운 국면이 되기 때문”이라고 설명한다. “공격자들은 그저 공격 대상만 살짝 바꿀 뿐입니다. 나머지 세세한 부분들은 다 비슷해요. 그런데 당하는 우리 입장에서는 전혀 다른 공격 전략이 되죠. 피해 조직만이 아니라 피해 조직과 관련된 모든 관계 조직들도 다 고려해야 하는 거니까요.”
 
3줄 요약
1. 북한의 라자루스, 최근 2개의 IT 업체 공격하며 고객사 노림.
2. 비트코인에만 관심있는 줄 알았더니 공급망 공격도 연구한 듯.
3. 공급망 공격은 최근 APT 단체들 사이에서 대유행.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘
      통합관제 / 소방방재

    • 센스타임

    • 센스타임

    • 아이브스

    • 아이디스

    • 엔토스정보통신

    • 웹게이트

    • (주)아이리스아이디

    • 하이크비전

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 다후아테크놀로지코리아

    • 아이쓰리시스템(주)

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • 하이앤텍

    • ITX_AI

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 비전정보통신

    • 성현시스템

    • (주)씨유박스

    • 씨엠아이텍

    • 트루엔
      IP 카메라 / 인공지능 ..

    • 한국씨텍(주)

    • 이오씨

    • 주식회사 비앤에스

    • A3시큐리티

    • (주)투윈스컴

    • (주)우경정보기술

    • 지에스티

    • AIS테크놀러지

    • 디비시스
      CCTV토탈솔루션

    • 화이트박스로보틱스

    • 신우테크
      팬틸드 / 하우징

    • (주)네이즈

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • (주)엔시드

    • (주)셀링스시스템

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 주식회사 에스카

    • (주)수퍼락

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • 엔에스게이트

    • 퍼시픽솔루션

    • 다원테크

    • (주)에이앤티글로벌

    • 두레옵트로닉스
      카메라 렌즈

    • (주)일산정밀

    • 지와이네트워크

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • (주)글로벌티에쓰시엠그룹

    • 완텍

    • (주)동양유니텍

    • (주)에프에스네트웍스

    • 모스타

    • 케이엠티

    • 구네보코리아주식회사

    • 네티마

    • 지엘에스이

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • 포커스에이치앤에스
      지능형 / 카메라

    • 티에스아이솔루션
      출입 통제 솔루션

    • 메트로게이트
      시큐리티 게이트

    • (주)넥스트림

    • 글로넥스
      카드리더 / 데드볼트

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기