[보안뉴스 문가용 기자] 솔라윈즈(SolarWinds) 사태와 관련이 있어 보이는 새로운 멀웨어가 발견됐다. 보안 업체 솔라윈즈와 크라우드스트라이크(CrowdStrike)가 함께 발견한 것으로 이름은 선스팟(Sunspot)이라고 하며, 역시나 솔라윈즈의 네트워크에서 찾아냈다고 한다.
[이미지 = utoimage]
선스팟은 커스텀 프로그램으로, 솔라윈즈 사태 초기부터 발견된 백도어인 선버스트(Sunburst)를 솔라윈즈의 오리온(Orion)이라는 네트워크 관리 제품의 ‘소프트웨어 빌드 환경’에 삽입하는 기능을 가지고 있다. 정교하게 개발되어 있었기 때문에 솔라윈즈 개발자들이 발견하기 힘들었을 것이라고 크라우드스트라이크는 발표했다.
크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)는 분명한 목적을 가지고, 그 목적만을 위해 만들어진 도구라고 선스팟에 대해 설명했다. 하지만 아직 선스팟을 공격자들이 어떤 방식으로 솔라윈즈에 심은 건지는 확실히 알 수 없다고 한다. “어떤 방법을 동원했는지 모르겠지만 공격자들은 선스폿을 먼저 심고, 이를 통해 선버스트를 정상 업데이트 파일에 심은 것입니다.”
이렇게 2단계 잠입을 통해 감염된 솔라윈즈 오리온의 업데이트 파일은 1만 8천여 개의 공공 기관과 민간 기업으로 유포됐으며, 이 중 일부는 추가 표적 공격의 대상이 되었다. 크라우드스트라이크는 “계속해서 새로운 사실들과 공격 도구들이 나오고 있어 아직도 이번 캠페인의 전체 그림을 머릿속으로 그려내기가 힘들다”며 “매우 복잡하게 진행된 캠페인이고 공격자들의 실력이 출중한 것은 확실하다”고 밝혔다.
“선버스트의 소스코드가 선스팟에 임베드 되어 있기도 했습니다. 그런데 공격자들은 이 소스코드를 있는 그대로 실행하지 않았어요. 디컴파일러를 한 번 거쳐서 실행했죠. 즉 코드를 한 번 세탁한 것입니다. 누군가에게 어떠한 힌트나 분석거리를 제공하지 않겠다는 의지가 엿보이는 부분입니다. 저는 개인적으로 이렇게 코드를 실행하는 걸 본적이 없습니다.” 메이어스의 설명이다.
또한 선스팟은 목적에 따라 용도 변경을 하기도 쉽게 구성되어 있었다. “다른 소스코드와 결합해 다른 목적으로도 활용이 가능한 것이었습니다. 이번 캠페인에서는 그 ‘다른 소스코드’가 선버스트였을 뿐입니다. 공격자들이 또 다른 캠페인을 실시한다면 선스팟의 또 다른 버전을 보게 될 것입니다.”
한편 솔라윈즈는 전 CISA 국장인 크리스토퍼 크렙스(Christopher Krebs)와 전 페이스북 CISO인 알렉스 스타모스(Alex Stamos)를 영입해 현재 회사 복구를 진행하고 있다. 현재까지 밝혀진 바 해커들의 솔라윈즈 침해는 2019년 9월에 처음 발생한 것으로 보인다. 본격적인 침투가 아니라, 사전 정찰 작업이 진행되었을 것이라고 솔라윈즈 측은 보고 있다. 그러면서 빌드 환경에 코드를 삽입하는 게 가능한지를 검토했다고 한다.
그 단계가 지나고서 공격자들은 선스팟을 통해 선버스트를 오리온에 심기 시작했다. 이 작업이 시작된 날짜는 2020년 2월 20일로 보인다. 그 후 공격자들은 6월 경에 선버스트를 오리온 개발 환경에서 삭제했다.
크라우드스트라이크는 “코드를 외부로 내보내는 서비스를 제공하는 업체라면 소프트웨어 빌드 환경을 보다 면밀하고 꼼꼼하게 검토할 필요가 있다”고 강조한다. “공급망 공격은 긴 시간 해커들의 관심사였습니다. 현재까지는 공급망 공격을 막는 핵심 요소는 ‘공급망 공격이라는 게 존재하며, 은밀히 진행된다’는 걸 인지하는 것입니다.”
솔라윈즈 사태와 관련하여 여태까지 발견된 멀웨어들로는 선버스트와 선스팟 외에 티어드롭(Teardrop)이 존재한다. 티어드롭은 메모리 기반 드로퍼로, 공격자들은 이를 통해 자신들이 개조한 코발트스트라이크(Cobalt Strike)라는 모의 해킹 도구를 실행시킨 것으로 분석됐다.
3줄 요약
1. 솔라윈즈 사태와 연루된 세 번째 멀웨어 발견됨.
2. 이번 멀웨어의 이름은 선스팟으로, 선버스트라는 백도어를 심는 기능 가지고 있음.
3. 공격자들이 솔라윈즈에 선스팟 심은 방법은 아직까지 정확히 밝혀지지 않음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>