원격지원 SW 타깃 사이버공격, 중국정부 지원 해커조직 소행?

중국정부 지원 해커조직, 원격지원 SW 업데이트 기능 악용해 국내 기업고객 뚫어
원격지원 SW 업데이트 서버 변조해 원격 액세스 도구 보내 추가 악성코드 실행

[보안뉴스 김경애 기자] 본지가 지난 8월 6일 단독 보도한 원격지원 SW 업체 R사 공격 해커가 중국 정부기관의 지원을 받는 중국해커 그룹이라는 의견이 제기돼 관심이 모아지고 있다. 해당 해커조직은 해당 SW의 업데이트 기능을 이용해 국내 기업을 뚫은 것으로 조사됐다. 한국 기업의 정보탈취를 목표로 한 전형적인 공급망 공격(Supply Chain Attack)으로 공공기관 및 기업은 공급망 공격에 대비한 보안대책 마련에 나서야 할 것으로 보인다.

▲Operation Red Signature의 공격 체인[이미지=트렌드마이크로]

이번 R사의 공급망 공격에 대해 연구 및 분석한 글로벌 보안업체 트렌드마이크로와 사이버전 악성코드 연구·추적그룹 이슈메이커스랩(IssueMakersLab, 리더 테일러 김)은 이를 ‘오퍼레이션 레드 시그니처(Operation Red Signature)’로 명명했으며, 해당 공격은 지난 7월 말에 발견됐다고 밝혔다.

공격 순서를 살펴보면 첫째, 해커는 R사 인증서를 탈취해 멀웨어를 R사 인증서로 서명한 후, 공격자 서버에 업로드했다. 그 다음 공격자는 해당 SW의 업데이트 서버를 해킹해 업데이트 서버 설정파일을 변경했다.

이와 관련 글로벌 보안업체 트렌드마이크로는 “탈취된 인증서로 서명된 ShiftDoor 악성코드도 추가로 발견했으며, 4월 8일 서명된 것으로 보아 인증서는 2018년 4월 이전에 도난당했을 가능성이 농후하다”고 분석했다.

둘째, 클라이언트가 공격 대상 기업에 속한 특정 범위의 IP 주소에서 연결하는 경우 업데이트 서버는 공격자의 서버에서 update.zip 파일을 수신 후 전송한다. 그 다음 원격 지원 프로그램은 업데이트 파일을 정상 파일로 인식하고 업데이트 파일에 포함된 9002 RAT 악성코드를 실행한다. 그러면 공격자는 9002 RAT를 통해 공격자 서버에서 추가로 악성코드를 다운로드하고 실행한다.

추가로 다운로드되는 툴은 active directory 개체 보기, active directory 개체 검색, active directory 정보 수집, 공개된 해킹 툴 등 다양한 악성툴이며, 9002 RAT에 의해 해킹당한 시스템에 다운로드된다.

이러한 툴을 통해 공격자는 공격 대상의 웹 서버 및 데이터베이스에 저장된 데이터를 어떻게 처리하는지 알 수 있게 된다.

악성코드 9002 RAT에 대해 트렌드마이크로는 2018년 7월 17일에 컴파일됐으며, update.zip의 구성 파일은 7월 18일에 생성됐다고 분석했다. 또한, 특정 공격에 사용된 RAT 파일이 8월에 비활성되도록 설정돼 RAT의 활동기간을 7월 18일부터 7월 31일까지로 추정했다.

특히, 9002 RAT는 공격자가 추가적인 멀웨어를 제공할 수 있는 발판 역할을 한다. 대부분이 마이크로소프트 캐비닛 형식(.cab)으로 압축된 파일 형태로 다운로드되는데, 이는 AV 솔루션에 의한 탐지를 피하기 위해 수행될 가능성이 크다.

장성민 트렌드마이크로 침해대응센터장은 “소프트웨어 프로그램 개발사의 경우 프로그램 개발도 중요하지만 무엇보다 보안에 신경써야 한다”며 “공급망 공격의 경우 개발사가 아닌 개발사의 프로그램을 이용하는 고객사가 피해를 입기 때문이다. 고객사는 특정 프로그램을 이용했다는 이유로 집중 타깃 대상이 될 수 있다. 따라서 소프트웨어 개발사는 사회적 책임 차원에서 취약점을 꼼꼼히 체크하고 상시적으로 취약점 패치를 적용하는 등 취약점 관리와 보안에 만전을 기해야 한다”고 당부했다.

공급망 공격의 대응방법으로는 △타사 제품 및 서비스 감독 △적극적 사고대응 전략 수립 △네트워크에서의 비정상적인 활동 사전 모니터링 △최소 권한 부여 원칙 적용 등이 제시됐다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)