[보안뉴스 문가용 기자] 북한의 악명 높은 해킹 단체인 라자루스(Lazarus)가 IT 공급망에 관심을 가지고 있다는 증거가 최근 자주 발견되고 있다. 보안 업체 카스퍼스키(Kaspersky)는 최근 라자루스가 진행한 공격 캠페인 두 건을 적발했다고 발표하며 IT 기업 한 군데의 네트워크가 침해된 부분을 주목해야 한다고 주장했다. 해당 기업이 아니라 그 기업의 고객사들을 노린 것으로 보이기 때문이다.
[이미지 = utoimage]
카스퍼스키에 의하면 라자루스가 최근 침해한 건 한국의 보안 소프트웨어 벤더사라고 한다. 공격자들은 이 회사의 네트워크에 침투한 뒤, 한국의 한 싱크탱크 조직에 원격 접근 트로이목마인 블라인딩캔(Blindingcan)과 코퍼헤지(Copperhedge)를 심었다고 한다. 이 두 가지 RAT은 지난 5월과 8월 미국 CISA가 조심하라고 경고한 라자루스의 공격 무기다. 당시 CISA는 “라자루스가 이 두 가지 도구를 통해 피해자의 시스템에 지속적으로 드나들고 있다”고 발표했었다.
그 다음 라자루스는 라트비아에 있는 IT 자산 관리 제품을 개발해 판매하는 업체를 공격한 것으로 밝혀졌다. 해당 업체 침해 후 라자루스는 또 다시 코퍼헤지 백도어를 심었다. “공격자들은 매우 교묘하여 코퍼헤지 멀웨어가 메모리에서만 실행되도록 했습니다.” 카스퍼스키의 수석 보안 연구원인 아리엘 융하이트(Ariel Jungheit)의 설명이다. “다만 해당 라트비아 업체에서 개발하는 제품들까지 라자루스가 침해했는지 안 했는지는 아직 알 수 없습니다. 했다면 사용자들 사이에서 피해가 계속 확산할 것입니다.”
융하이트는 “최근 적발된 라자루스의 캠페인 모두가 여러 고객사를 둔 IT 업체라는 건, 라자루스가 IT 공급망 공격에 눈을 떴다는 뜻으로 해석된다”고 설명한다. 이 해석이 어색하지 않은 건 올 한 해 유독 IT 공급망이 연루된 대형 사이버 보안 사건이 많이 터졌기 때문이다. 러시아 노벨륨(Nobelium)은 솔라윈즈(SolarWinds)를 침해했고, 유명 FTA 개발사인 액셀리온(Accellion)도 당했으며, 깃허브, PyPl, 도커 허브 등 개발자들의 코드 공유 사이트들도 끊임없는 공격에 시달렸다.
작년과 올해 커다란 골칫거리가 되고 있긴 하지만 공급망 공격이라는 건 예전부터 존재해 왔다. 2019년 바륨(Barium)이라는 공격 단체는 하드웨어 제조사인 에이수스(Asus)의 소프트웨어 업데이트 시스템을 감염시키고, 이를 통해 에이스수 고객사들에 멀웨어를 퍼트렸었다. 이 공격은 셰도우해머 작전(Operation ShadowHammer)으로 알려져 있고, 멀웨어는 40만 대가 넘는 시스템에서 발견됐다.
카스퍼스키의 수석 연구원인 데이비드 엠(David Emm)은 “최근 사이버 공격자들은 대대적으로 공급망 공격을 실시하고 있다”며 “한 업체만 공격하면 그 영향력이 일파만파 퍼져가는 높은 효율성을 보이기 때문”이라고 설명한다. “공급망 공격은 결국 기업과 기업들이 상호간에 쌓아온 신뢰를 공략하는 것이기 때문에 효과적입니다. 그 신뢰가 있어서 우리는 사업을 하고, 그 신뢰가 있어 우리는 다양한 일들을 할 수 있거든요. 단순 ‘침해’ 이상의 장기적 피해를 우리에게 주고 있는 겁니다.”
엠은 “공급망 공격이 방어하는 편에서 대단히 불리하게 작용하는 건, 공격자들 입장에서는 기존에 해왔던 것과 비슷한 공격을 하는 것이지만 방어자에게는 전혀 새로운 국면이 되기 때문”이라고 설명한다. “공격자들은 그저 공격 대상만 살짝 바꿀 뿐입니다. 나머지 세세한 부분들은 다 비슷해요. 그런데 당하는 우리 입장에서는 전혀 다른 공격 전략이 되죠. 피해 조직만이 아니라 피해 조직과 관련된 모든 관계 조직들도 다 고려해야 하는 거니까요.”
3줄 요약
1. 북한의 라자루스, 최근 2개의 IT 업체 공격하며 고객사 노림.
2. 비트코인에만 관심있는 줄 알았더니 공급망 공격도 연구한 듯.
3. 공급망 공격은 최근 APT 단체들 사이에서 대유행.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>