업데이트 서버 해킹돼 정보탈취용 악성코드 유포
정부에서 현재 프로그램 사용 피해 업체와 제조사 조사중
소프트웨어 제조업체 노린 타깃 공격...공급망 보안 비상
[보안뉴스 김경애 기자] 국내 유명 원격지원 및 제어 소프트웨어의 업데이트 서버가 해킹되는 사건이 포착됐다. 해당 프로그램을 사용하는 고객사에서 이상 징후가 발견돼 현재 정부에서 조사 중인 것으로 알려졌다.
▲ 업데이트 서버가 해킹된 원격지원 및 제어 소프트웨어 업체 홈페이지[이미지=홈피 캡쳐]
본지가 입수한 정보에 따르면 국내 유명 원격지원 솔루션의 업데이트 서버가 해킹돼 해당 솔루션을 이용하는 고객사에 정보탈취용 악성코드가 유포됐다. 공격자는 인증서를 탈취하고 업데이트 서버를 해킹한 후, 특정 고객들을 선별해 인증서가 서명된 악성코드를 유포했다. 또한, 해당 악성코드는 명령제어(C&C) 서버로부터 추가 악성코드를 전달받아 계정정보 등을 탈취하는데 악용된 것으로 드러났다.
이와 관련 정부 관계자는 “이번 사건은 해당 소프트웨어 제조사의 고객사인 피해 업체에서 프로그램 사용 중 문제가 발생해 알려졌다”며 “현재 소프트웨어 제조사와 피해 업체 모두 조사 중에 있다. 업데이트 서버 해킹은 맞지만 해킹 경로는 다양하기 때문에 로그 기록 등을 통해 사고경위를 보다 면밀히 조사해야 한다”고 밝혔다.
이에 앞서 지난 7월 10일 해당 원격지원 솔루션을 제공하는 업체 알XXX는 문제가 된 프로그램에 대한 업데이트 및 시스템 점검 안내를 공지했다.
본지의 확인 요청에 해당 업체는 “해킹 사건은 잘 모르는 일”이라며 “해당 이슈에 대해 확인해 봐야 한다. 내부적으로 알아본 후 답변하겠다”고 말했다.
그러나 문제는 해킹 사건이 발생했음에도 공공기관과 해당 소프트웨어 공급업체 모두 적극 공지하지 않는 분위기라는 점이다. 해당 업체는 이번 사건과 관련해 그 어떤 공지도 올리지 않았다. 정부 및 공공기관 역시 소극적인 태도로 일관하고 있다는 지적이 제기된다.
이와 관련 보안 관계자는 “해당 업체와 공공기관 모두 피해 확산을 막는다는 명목으로 외부에 알리기 보단 조용히 넘기려는 분위기”라며 “효과적인 사건 대응을 위해서는 외부에 피해 사실을 적극 알려 주의를 환기시켜야 한다”고 강조했다.
또 다른 보안 관계자는 “실제 감염된 고객사는 2곳이며, 내부 확산 전에 탐지해 조치 완료했다”며 “대규모 확산이 아닌 타깃 공격으로 정부기관에서도 피해 확산을 우려해 외부 공지를 권고한 것으로 알고 있다”고 귀띔했다.
보안 관계자는 “해당 업체의 경우 1만 곳 이상의 고객사를 보유한 것으로 알려져 피해 규모도 클 것으로 우려된다”며 “공격자가 계정정보 등을 선별해 표적 공격으로 감염시킨 것 같다”고 말했다.
한 기업의 보안담당자는 “일반적으로 무결성 검증을 위해 공개키 구조를 이용해서 업데이트 파일을 암호화를 하고 있다”며 “회사 개인키로 업데이트 파일을 암호화하고 클라이언트에서는 회사 공개키로 풀어서 업데이트를 할 수 있다. 업데이트 취약점이 있더라도 회사의 개인키가 없으면 업데이트 될 수 없기 때문에 회사의 개인키를 탈취해야 한다. 보통 개인키는 개발자 PC에 저장돼 있는데, 개발자들이 업데이트를 완료하면 개인키로 암호화를 해야 하는데, 인증서가 탈취돼 서명이 뚫린 것 같다”고 공격경로를 예상했다. 이어 그는 “어떤 경로로든 인증체계가 무력화되고 업데이트 파일이 해킹됐다는 건 문제가 있다”며 “보안에 각별히 신경써야 한다”고 강조했다.
또 다른 기업의 CISO는 “원격지원·제어 프로그램이 악용되는 경우 고객의 PC에 대한 통제권이 상실되는 것과 다름없다”며 “단순히 디바이스 단에서의 악성코드 설치 뿐만 아니라 디바이스에 저장된 데이터가 유출되어 후속 피해로 이어질 수 있기 때문이다. 이와 별개로 개인키 탈취가 의심되는 경우라면 키관리 시스템에서의 취약점은 없는지도 살펴봐야 한다”고 설명했다.
이어 그는 “키관리 시스템을 도입하는 것만으로 암호화 키가 안전하게 관리될 수 있다는 잘못된 믿음에서 벗어나야 한다”며 “개인키가 아무리 키관리 시스템 체계에 놓여 있다 하더라도 개발자의 부주의로 개인키를 하드코딩해서 사용하는 경우도 존재하기 때문에 보안에 만전을 기해야 한다”고 덧붙였다.
이에 대해 해당 업체 관계자는 “업데이트 서버 해킹이라기보다는 디지털 인증서가 유출된 것”이라며 “외부자가 업데이트 서버에 들어오는 고객을 리다이렉션 시켰고, 불특정 다수가 아닌 타깃 공격으로 감지돼 조치를 취했다. 처음 사건을 인지한 시점은 지난 7월 18일이며, 발견 즉시 무결성 로직 서버로 바꿨다”며 처음 취재 때와 달리 해킹 사실을 인정했다.
그러면서 해킹 사실을 공지하지 않은 이유에 대해 업체 관계자는 “피해 확산을 막기 위해 1차적 조치를 먼저 한 후, 사실관계를 확인해 이용자에게 안내하려다 보니 시간이 다소 지연됐다”며 “해킹 사고를 덮으려는 의도는 아니었으며, 오늘(6일) 공지할 예정”이라고 해명했다.
[김경애 기자(boan3@boannews.com)]
정부에서 현재 프로그램 사용 피해 업체와 제조사 조사중
소프트웨어 제조업체 노린 타깃 공격...공급망 보안 비상
[보안뉴스 김경애 기자] 국내 유명 원격지원 및 제어 소프트웨어의 업데이트 서버가 해킹되는 사건이 포착됐다. 해당 프로그램을 사용하는 고객사에서 이상 징후가 발견돼 현재 정부에서 조사 중인 것으로 알려졌다.
▲ 업데이트 서버가 해킹된 원격지원 및 제어 소프트웨어 업체 홈페이지[이미지=홈피 캡쳐]
본지가 입수한 정보에 따르면 국내 유명 원격지원 솔루션의 업데이트 서버가 해킹돼 해당 솔루션을 이용하는 고객사에 정보탈취용 악성코드가 유포됐다. 공격자는 인증서를 탈취하고 업데이트 서버를 해킹한 후, 특정 고객들을 선별해 인증서가 서명된 악성코드를 유포했다. 또한, 해당 악성코드는 명령제어(C&C) 서버로부터 추가 악성코드를 전달받아 계정정보 등을 탈취하는데 악용된 것으로 드러났다.
이와 관련 정부 관계자는 “이번 사건은 해당 소프트웨어 제조사의 고객사인 피해 업체에서 프로그램 사용 중 문제가 발생해 알려졌다”며 “현재 소프트웨어 제조사와 피해 업체 모두 조사 중에 있다. 업데이트 서버 해킹은 맞지만 해킹 경로는 다양하기 때문에 로그 기록 등을 통해 사고경위를 보다 면밀히 조사해야 한다”고 밝혔다.
이에 앞서 지난 7월 10일 해당 원격지원 솔루션을 제공하는 업체 알XXX는 문제가 된 프로그램에 대한 업데이트 및 시스템 점검 안내를 공지했다.
본지의 확인 요청에 해당 업체는 “해킹 사건은 잘 모르는 일”이라며 “해당 이슈에 대해 확인해 봐야 한다. 내부적으로 알아본 후 답변하겠다”고 말했다.
그러나 문제는 해킹 사건이 발생했음에도 공공기관과 해당 소프트웨어 공급업체 모두 적극 공지하지 않는 분위기라는 점이다. 해당 업체는 이번 사건과 관련해 그 어떤 공지도 올리지 않았다. 정부 및 공공기관 역시 소극적인 태도로 일관하고 있다는 지적이 제기된다.
이와 관련 보안 관계자는 “해당 업체와 공공기관 모두 피해 확산을 막는다는 명목으로 외부에 알리기 보단 조용히 넘기려는 분위기”라며 “효과적인 사건 대응을 위해서는 외부에 피해 사실을 적극 알려 주의를 환기시켜야 한다”고 강조했다.
또 다른 보안 관계자는 “실제 감염된 고객사는 2곳이며, 내부 확산 전에 탐지해 조치 완료했다”며 “대규모 확산이 아닌 타깃 공격으로 정부기관에서도 피해 확산을 우려해 외부 공지를 권고한 것으로 알고 있다”고 귀띔했다.
보안 관계자는 “해당 업체의 경우 1만 곳 이상의 고객사를 보유한 것으로 알려져 피해 규모도 클 것으로 우려된다”며 “공격자가 계정정보 등을 선별해 표적 공격으로 감염시킨 것 같다”고 말했다.
한 기업의 보안담당자는 “일반적으로 무결성 검증을 위해 공개키 구조를 이용해서 업데이트 파일을 암호화를 하고 있다”며 “회사 개인키로 업데이트 파일을 암호화하고 클라이언트에서는 회사 공개키로 풀어서 업데이트를 할 수 있다. 업데이트 취약점이 있더라도 회사의 개인키가 없으면 업데이트 될 수 없기 때문에 회사의 개인키를 탈취해야 한다. 보통 개인키는 개발자 PC에 저장돼 있는데, 개발자들이 업데이트를 완료하면 개인키로 암호화를 해야 하는데, 인증서가 탈취돼 서명이 뚫린 것 같다”고 공격경로를 예상했다. 이어 그는 “어떤 경로로든 인증체계가 무력화되고 업데이트 파일이 해킹됐다는 건 문제가 있다”며 “보안에 각별히 신경써야 한다”고 강조했다.
또 다른 기업의 CISO는 “원격지원·제어 프로그램이 악용되는 경우 고객의 PC에 대한 통제권이 상실되는 것과 다름없다”며 “단순히 디바이스 단에서의 악성코드 설치 뿐만 아니라 디바이스에 저장된 데이터가 유출되어 후속 피해로 이어질 수 있기 때문이다. 이와 별개로 개인키 탈취가 의심되는 경우라면 키관리 시스템에서의 취약점은 없는지도 살펴봐야 한다”고 설명했다.
이어 그는 “키관리 시스템을 도입하는 것만으로 암호화 키가 안전하게 관리될 수 있다는 잘못된 믿음에서 벗어나야 한다”며 “개인키가 아무리 키관리 시스템 체계에 놓여 있다 하더라도 개발자의 부주의로 개인키를 하드코딩해서 사용하는 경우도 존재하기 때문에 보안에 만전을 기해야 한다”고 덧붙였다.
이에 대해 해당 업체 관계자는 “업데이트 서버 해킹이라기보다는 디지털 인증서가 유출된 것”이라며 “외부자가 업데이트 서버에 들어오는 고객을 리다이렉션 시켰고, 불특정 다수가 아닌 타깃 공격으로 감지돼 조치를 취했다. 처음 사건을 인지한 시점은 지난 7월 18일이며, 발견 즉시 무결성 로직 서버로 바꿨다”며 처음 취재 때와 달리 해킹 사실을 인정했다.
그러면서 해킹 사실을 공지하지 않은 이유에 대해 업체 관계자는 “피해 확산을 막기 위해 1차적 조치를 먼저 한 후, 사실관계를 확인해 이용자에게 안내하려다 보니 시간이 다소 지연됐다”며 “해킹 사고를 덮으려는 의도는 아니었으며, 오늘(6일) 공지할 예정”이라고 해명했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
