정상 보안 프로그램으로 속인 악성 파일 소프트웨어 공급망 통해 유포 시도
해킹으로 유출한 코드사인 인증서로 정상 프로그램인 것처럼 위장

[보안뉴스 이상우 기자] 국내 소프트웨어 배포 솔루션을 악용한 공급망 공격을 시도한 정황이 포착됐다. 이번 공격은 금융권에서 주로 사용하는 위즈베라 베라포트(VeraPort)를 이용한 것으로 알려졌다. 글로벌 보안 기업인 이셋코리아에 따르면 공격자는 여러 기업에서 유출한 보안 프로그램과 코드사인 인증서를 이용해 변조된 악성 프로그램을 정상인 것처럼 꾸며 소프트웨어 공급망을 통해 유포하려 했다.


[이미지=이셋코리아]

공급망 공격이란 소프트웨어 및 업데이트 배포 과정에 해커가 침입해 변조된 악성 파일을 정상으로 속여 유포하는 공격이다. 베라포트는 ‘통합 설치 관리 솔루션’으로, 사용자가 인터넷 뱅킹 등을 할 때 필요한 각종 보안 플러그인을 한 번에 설치할 수 있게 해주는 기능을 한다. 사용자 입장에서는 각각의 플러그인을 하나씩 내려받아 설치하는 번거로움을 줄일 수 있게 해준다. 특히 PC로 인터넷 뱅킹을 이용하는 국내 사용자라면 누구나 PC에 설치돼 있는 솔루션이다.

이셋(ESET)에 따르면 이번 공격에서 해커는 코드를 변조한 악성 소프트웨어를 정상인 것처럼 위장하기 위해 불법으로 유출한 코드사인 인증서를 사용했으며, 이 인증서 중 하나는 국내 보안회사의 미국 지사가 발급한 것으로 나타났다. 또한 아이콘이나 파일 이름 역시 실제 국내에서 쓰이는 보안 소프트웨어와 유사하게 제작했다.

이셋은 이번 공격을 올해 초 진행된 라자루스의 ‘Operation BookCodes’의 연장선이라고 보고 있으며, 해킹에 쓰인 기법이나 해커의 특성, 네트워크 인프라 설정 등 유사성을 통해 이번 공격 역시 동일한 조직이라고 추정하고 있다. 라자루스(Lazarus)는 북한을 배후에 둔 것으로 알려진 국제 해킹조직으로, 워너크라이 등 랜섬웨어 공격이나 소니픽쳐스 해킹 등으로 이름을 알렸다.

한편, 이번 공격에 관한 자세한 내용은 에셋의 위라이브시큐리티(WeLiveSecurity) 블로그에 등록돼 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>