카스퍼스키랩 글로벌 위협 정보 분석팀(GReAT)은 ‘바이러스 블불레틴 2018’에서 기술 보안 연구 부문 피터 조르(Péter Szőr) 상을 받았다고 17일 밝혔다. 피터 조르 어워드는 해마다 발행되는 기술 보안 연구 중에서 최고의 공로를 올린 연구에 수여되는 상이다.
이번 행사에서 GReAT는 지금까지 알려진 공격 중 가장 규모가 큰 공급망 공격으로 꼽히는 섀도우패드 공격을 밝혀내고 분석한 공로를 인정받았다.
지난해 GReAT는 전 세계 수많은 기업이 사용하는 서버 관리 소프트웨어 속에 숨어 있는 백도어인 섀도우패드를 발견했다. 이 악성 코드는 금융 서비스, 교육, 통신, 제조, 에너지, 교통 등 다양한 업계에서 사용하는 소프트웨어의 최신 업데이트 파일 속에 설치돼 있었다.
GReAT 연구진이 밝혀낸 바에 따르면 감염된 소프트웨어의 업데이트가 설치된 후 악성 모듈은 C&C 서버인 특정 도메인으로 8시간에 한 번씩 DNS 쿼리를 보내기 시작한다. 이 요청에는 감염된 컴퓨터 시스템에 대한 기본적인 정보가 포함되어 있다.
해커가 해당 시스템에 ‘관심을 가질’ 경우 명령 서버가 요청에 응답하고 준비를 모두 마친 백도어 플랫폼을 활성화시키면, 백도어가 자체적으로 피해자의 컴퓨터 내부에 몰래 배포된다. 그리고는 해커의 지시에 따라 백도어 플랫폼이 추가적 악성 코드를 다운로드하고 실행할 수 있는 것이다. 이 공격의 배후는 중국어를 구사하는 해킹 조직으로 추정된다.
마틴 그루텐 바이러스 불레틴 에디터는 “널리 알려진 ‘낫페트야’와 ‘씨크리너’의 사례에서 알 수 있듯 공급망 공격은 심각한 문제다. 섀도우패드는 공급망 공격이 매우 교묘하게 오랜 기간 동안 활동할 수 있음을 보여주는 사례다. 카스퍼스키랩의 분석은 공격에 대한 전반적인 요약 정보는 물론 기술적인 세부사항을 모두 제공하고 있어서 관련 위협과 일반적인 공급망 공격 문제에 대한 인식을 높일 수 있을 것으로 기대한다”고 말했다.
코스틴 라이우 카스퍼스키랩 GReAT 책임자는 “섀도우패드는 공급망 공격이 성공을 거둘 때 얼마나 위험하고 광범위할 수 있는지 잘 보여준다. 신속하게 탐지하여 패치를 수행하지 않았더라면 얼마나 많은 기업이 섀도우패드로 인해 피해를 입었을지 모른다. 이번에 바이러스 불레틴 피터 조르 어워드를 수상했다는 기쁨도 크지만 카스퍼스키랩이 계속해서 전 세계를 사이버 범죄로부터 보호할 기회를 가질 수 있음에 감사한다”고 말했다.
