Home > 전체기사
공급망 공격당한 아수스, 백만 명 넘는 고객들 감염시켜
  |  입력 : 2019-03-26 09:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
업데이트 서버에 침투한 공격자들, 정상 업데이트 파일에 악성 코드 심어
실제 공격 표적은 600여 대...배후 세력은 중국의 바륨이라는 단체가 유력


[보안뉴스 문가용 기자] 대만의 컴퓨터 제조사인 아수스(ASUS)가 1백만 명이 넘는 고객들에게 멀웨어를 전파했다. 업데이트 서버가 해킹 공격에 당했기 때문이다. 이른 바 ‘공급망 공격’이 발생한 것이다. 이에 대해 보안 업체 카스퍼스키 랩(Kaspersky Lab)이 발표했다.

[이미지 = iclickart]


현재까지 수집된 정보에 의하면 공격자들은 아수스가 소프트웨어 및 펌웨어 업데이트를 사용자의 시스템으로 자동 배포할 때 사용하는 서버들에 침투해 멀웨어를 심고, 이를 진짜 소프트웨어인 것처럼 퍼트린 것으로 보인다. “이렇게 공격자들이 오염시킨 업데이트 파일은 악성으로 탐지되지 않습니다. 정상적인 아수스 인증서로 서명이 되어 있기 때문이죠.” 카스퍼스키 측의 설명이다.

공격은 2018년 6월부터 11월 사이에 발생한 것으로 보인다. 아수스의 라이브 업데이트(Live Update) 유틸리티를 활성화시킨 고객들 전부가 이 공격의 영향을 받았다. 라이브 업데이트 유틸리티는 대부분 아수스 컴퓨터들에 미리 설치되어 있으며, 애플리케이션, 소프트웨어 드라이브, 펌웨어 등을 업데이트 하는 데 사용된다.

공급망 공격에 성공한 공격자들은 수백만 개의 컴퓨터에 멀웨어를 설치하는 데 성공했지만, 아직까지 이들이 관심을 보이고 있는 건 몇몇에 불과하다. 이는 카스퍼스키가 멀웨어 안에서 발견한 고유 맥 주소 목록을 통해 내린 결론이다. “현재까지는 이 공격의 실질적인 표적들은 600여 대의 컴퓨터 정도로 보입니다. 그러나 이들이 어떤 공통점을 가지고 있는지는 아직 밝혀지지 않았습니다.” 카스퍼스키의 분석 팀 수장인 코스틴 라이우(Costin Raiu)가 설명한다.

카스퍼스키는 이 공격에 ‘셰도우해머 작전(Operation ShadowHammer)’이라는 이름을 붙였다.

사이버 공격자들이 업데이트 채널을 오염시킴으로서 멀웨어를 퍼트리는 전략을 사용한 건 이번이 처음이 아니다. 2017년 한 해킹 단체는 보안 업체 어베스트(Avast)가 만든 씨클리너(CCleaner) 소프트웨어의 공식 서버에 침투하여 데이터 침투 멀웨어를 심기도 했다. 어베스트로부터 씨클리너를 다운로드 받은 수십~수백만 명의 사람들이 이 때문에 피해를 입었다. 이 때도 수많은 사람들이 한꺼번에 공격당했지만, 공격자들이 실제로 노린 건 시스코, 마이크로소프트, 구글, 소니, HTC와 같은 일부 기술 기업들뿐이었다.

중국의 해킹 그룹도 넷사랑 컴퓨터(NetSarang Computer)가 만든 서버 관리용 소프트웨어에 셰도우패드(ShadowPad)라는 백도어를 심은 바 있다. 이 제품은 대형 조직들에서 주로 사용하는 것으로, 당시도 많은 조직들이 백도어 공격을 받았었다.

공급망 공격
라이우는 “공급망 공격을 탐지하고 잡아낸다는 건 매우 어려운 일”이라고 말한다. “아마도 현 시점에서 IT 업계와 보안 업계에 있어 가장 큰 문제일 수도 있습니다. 그래서 카스퍼스키는 현재 코드 변칙, 코드 유사성, 트래픽 검사 등을 바탕으로 공급망 공격을 탐지해내는 방법을 연구 중에 있습니다. 그런 연구를 바탕으로 이번 셰도우해머 공격을 탐지해낸 것이기도 합니다.”

카스퍼스키는 이번 셰도우해머 작전 배후에 있는 단체를 바륨(Barium)으로 보고 있다. 바륨은 최근 MS가 공개한 공격 단체로, 넷사랑의 소프트웨어에 셰도우패드를 심은 자들이다. 보안 업체 이셋(ESET)이 발표한 바에 의하면 바륨은 여러 게임 애플리케이션 개발사들을 대상으로도 여러 차례 공격을 실시한 것으로 알려져 있다. 바륨은 현재까지 중국 정부와 연관된 것으로 보인다.

이번 셰도우해머 공격에서 아직 확실히 밝혀지지 않은 것 중 하나는, 공격자들이 피해자들의 고유 맥 주소를 어떤 방식으로 얻어냈느냐 하는 것이다. “아직 이 부분에 대해서는 확실하게 밝혀진 바가 없습니다. 어쩌면 또 다른 공급망 공격을 통해 얻어낸 것일 수 있지 않을까 의심하고 있습니다. 이전에도 셰도우패드라는 백도어를 공급망 공격을 통해 퍼트린 바 있고요.”

보안 업체 레이시온(Raytheon)의 CTO인 마크 올란도(Mark Orlando)는 “멀웨어 내부에 맥 주소가 있었다는 건, 공격 목표가 매우 구체적이었다는 걸 뜻하고, 애초에 셰도우해머 캠페인 자체가 광범위한 공격을 목표로 하고 있지 않았다는 걸 나타낸다”고 설명한다.

그러면서 올란도는 “셰도우해머와 같은 공격을 기업 입장에서 탐지하는 건 정말 힘든 일”이라고 말한다. “공식 업데이트 파일과 실제 내보내는 업데이트 파일의 해시 값까지 비교해가며 조심하는 기업들도 있습니다만, 아수스가 그렇게까지 했더라도 이번 공격은 발견하지 못했을 겁니다. 공격자들이 정상 업데이트 파일을 자신들의 것으로 바꿔치기 했기 때문입니다.”

또한 이번 공격에서 사용된 멀웨어는 맥 주소가 올바르지 않았을 경우 아무런 작동을 하지 않는다는 특징도 있는데, 이 역시 조기 탐지를 상당히 어렵게 만든다. 올란도는 “이런 식의 공격이 있을 거라는 걸 염두에 둔 방어 체제가 있어야만 겨우 막을 가능성이 조금 생긴다”고 설명한다. “즉 악성 파일의 기술 보고서를 빠르게 분석하고 이해하며, 이를 바탕으로 위협 요소를 능동적으로 사냥할 수 있는 정도의 실력자들이 막을 수 있는 위협이었습니다.”

결국 조직들 입장에서 위협 모델을 구성할 때 신뢰받는 출처에서 오는 서명된 업데이트 파일도 포함시켜야 한다는 게 올란도의 설명이다. “보안 모니터링 절차에 이렇게 완벽한 출처와 서명을 가진 파일들도 포함시켜야 합니다. 그리고 각종 검사를 실시해야 하죠. 그렇지 않는다면 공급망 공격을 원천봉쇄하는 건 어렵습니다.”

한편 카스퍼스키는 장비의 맥 주소만 알면 누구나 자신의 아수스 컴퓨터가 멀웨어에 감염되어 있는지 확인해볼 수 있는 사이트(https://shadowhammer.kaspersky.com/)를 개설했다. 맥 주소는 명령 프롬프트 창에서 ipconfig /all이라는 명령어를 입력한 후, 물리적 주소라는 항목에 나온 값을 통해 확인할 수 있다.

3줄 요약
1. 누군가 ASUS 업데이트 서버에 침투해 멀웨어 심음. ASUS는 오염된 업데이트를 백만 고객에게 전송.
2. 하지만 실제 공격의 표적이 된 건 약 600대의 컴퓨터 장비. 맥 주소까지 지정되어 있었음.
3. 공격의 배후에는 중국의 해킹 단체인 바륨이 있는 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

이노뎁
VMS

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

쿠도커뮤니케이션
스마트 관제 솔루션

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

한국씨텍
PTZ CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

링크플로우
이동형 CCTV 솔루션

엔토스정보통신
DVR / NVR / CCTV

트루엔
IP 카메라

다민정보산업
기업형 스토리지

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

디비시스
CCTV토탈솔루션

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

옵티언스
IR 투광기

옵텍스코리아
실내 실외 센서

구네보코리아
보안게이트

엑사비스
사이보 보안 CCTV

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

수퍼락
출입통제 시스템

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

파이브지티
얼굴인식 시스템

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

다원테크
CCTV / POLE / 브라켓

티에스아이솔루션
출입 통제 솔루션

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

금성보안
CCTV / 출입통제 / NVR

지와이네트웍스
CCTV 영상분석

이후커뮤니케이션
CCTV / DVR

지에스티엔지니어링
게이트 / 스피드게이트

넷플로우
IP인터폰 / 방송시스템

아이유플러스
레이더 / 카메라

DK솔루션
메트릭스 / 망전송시스템

두레옵트로닉스
카메라 렌즈

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

KPN
안티버그 카메라

싸이닉스
스피드 돔 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

창우
폴대

유진시스템코리아
팬틸트 / 하우징

브이유텍
플랫폼 기반 통합 NVR

글로넥스
카드리더 / 데드볼트

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향