北해커, SW공급망 해킹해 에너지·금융시스템 노렸다

북한의 해커조직이 소프트웨어(SW) 공급망을 공격해 에너지와 금융시스템을 타깃으로 해킹한 정황이 드러났다.
미국의 사이버 보안 회사 시만텍은 최근 북한 해커들이 중요한 에너지 인프라와 금융 부문을 노리고 있다고 밝혔다. 시만텍은 최근 발표한 보안위협 동향 보고서에서 북한이 복잡한 'Hydra'와 같은 공격을 통해 지속적인 공격을 감행했다고 설명했다.

이 해커조직은 기업용 음성 및 비디오 통화 프로그램, 즉 화상회의 소프트웨어 3CX에 액세스 권한을 부여한 동일한 손상된 디지털 거래 소프트웨어를 이용해 전략적으로 중요한 조직을 표적으로 삼았다.

시만텍 보고서에 따르면 에너지와 금융분야 관련된 기업 두 곳에서 북한의 해킹조직 라자루스가 악성코드에 감염시킨 '엑스트레이더(X-TRADER)' 애플리케이션이 발견됐다. 엑스트레이더를 감염시켜 3CX의 고객사들 외에 다른 기업도 공격했을 가능성도 높은 것으로 확인됐다.

또 다른 사이버 보안 기업 ‘맨디언트’는 최근 보안위협 보고서를 통해 소프트웨어 업체 ‘트레이딩 테크놀로지스(Trading Technologies)’의 소프트웨어가 먼저 악성코드에 감염됐고 이후 북한 해킹조직이 이 감염 경로를 이용해 3CX를 해킹했다고 보고했다.

맨디언트는 이와 같이 SW공급망에 대한 해킹 공격이 또 다른 소프트웨어 공급망 해킹으로 이어지는 사례를 확인한 것은 이번이 처음이라고 덧붙였다.

3CX의 하루 사용자 수는 약 1200만명이 넘는 것으로 알려졌다. 3CX의 설치 프로그램에 악성코드가 삽입된 것은 지난달 처음 알려졌고 여러 사이버 보안 업체들은 이 공격의 배후로 북한 해킹조직을 지목했다.
맨디언트와 3CX에 따르면 지난해 3CX에서 근무하는 한 직원은 트레이딩 테크놀로지스 웹사이트에서 ‘엑스트레이더’라는 금융 거래용 소프트웨어를 개인 컴퓨터에 다운받았다.

당시 엑스트레이더는 이미 악성코드에 감염돼 있었는데 북한 해커들은 이를 이용해 직원의 개인 컴퓨터에 침입해 이 직원의 인증정보(credentials)를 탈취했다. 북한 해커들은 이 직원의 컴퓨터에 침입한 지 이틀 만에 이 인증정보를 이용해 가상사설망(VPN)으로 3CX에도 침입한 것으로 드러났다.

이번 공격을 감행한 조직은 ‘UNC4736’으로 명명된 북한의 해킹조직으로 금전 탈취를 목적으로 하는 ‘애플제우스’라는 악성코드와 관련이 있다고 설명했다. 애플제우스는 북한 연계 해킹 조직인 ‘라자루스’가 지난 2018년부터 사용한 악성코드로 주로 가상화폐를 갈취하는 데 이용되는 것으로 알려졌다.

한 SW공급망에서 다른 SW공급망으로 이어지는 이러한 공격 방식은 북한 해커들이 창의적인 방식으로 악성코드를 개발, 배포하고 여러 네트워크를 옮겨 다니면서 북한의 이익에 부합하는 작전을 수행할 수 있다는 사실을 보여준다고 보고서는 지적했다.

맨디언트 측은 "이번 3CX 공급망 공격이 중요한 이유는 하나의 SW공급망 공격이 또 다른 SW공급망 공격으로 이어진 최초의 복합적인 공격이다. 거대 공급망을 이용하는 공격은 그만큼 많은 이용자들의 엑세스 정보를 확보할 수 있어 막대한 피해를 입힐 수 있다"면서 "이번 공격은 북한의 해커들의 공격 능력이 많이 진화했다는 것을 의미한다"고 말했다.

시만텍 측은 “3CX가 이전에 또 다른 공급망 공격에 의해 침해당했다는 사실이 밝혀졌다. 이에 추가 해킹조직이 이번 공격에 앞서 그 영향을 받았을 가능성이 있다"면서 "이는 예상했던 것 보다 훨씬 광범위하게 진행되고 공격자들은 SW공급망 공격을 성공적으로 수행할 수 있는 확실한 템플릿을 보유하고 있어 이와 유사한 공격이 또 있을 수 있다”고 경고했다.


김태형 글로벌이코노믹 기자 tadkim@g-enews.com