[데이터넷] 소프트웨어 공급망 공격으로 피해를 입은 소프트웨어가 다른 공급망 공격에 이용된 사실이 알려졌다. 3월 공개된 3CX 데스크톱 앱(3CX DesktoppApp)’ 공급망 공격이 2021년 감염된 트레이딩 테크놀로지스의 소프트웨어 ‘엑스트레이더(X_TRADER)’를 이용한 것으로 분석됐다.

엑스트레이더는 금융거래 시 사용되는 소프트웨어이며, 3CX데스크톱 앱은 채팅, 화상 통화, 음성 통화 등 사용자에게 커뮤니케이션을 제공하는 엔터프라이즈용 소프트웨어다. 엑스트레이더는 2020년 종료된 앱이지만 2022년에도 공식 사이트에서 다운로드 할 수 있었다.

맨디언트가 분석한 3CX 공급망 공격의 개요를 설명하면, 3CX 직원이 지난해 엑스트레이더의 악성 버전을 다운로드·설치했으며, 3개의 파일이 추출돼 베일드시그널(VEILEDSIGNAL)이라는 백도어가 생성됐다. 이 멀웨어는 공격자에게 3CX 직원의 컴퓨터에 대한 전체 관리 권한과 시스템 수준 권한을 부여하는 것이다.

3CX 직원 컴퓨터를 장악한 공격자는 자격증명을 갈취하고 도용해 3CX의 시스템에 관리자로 액세스했으며, 3CX의 윈도우 및 맥 빌드 서버에 침투했다. 공격자는 멀웨어 툴을 활용해 기업에서 사용하는 3CX의 완제품에 더 많은 악성코드를 심을 수 있었다.

엑스트레이더는 2021년경 감염됐으며, 악성 소프트웨어 디지털 서명에 사용된 코드서명 인증서는 2022년 10월 만료됐다. 3CX 직원이 엑스트레이더로 인해 감염된 것은 지난해 10월 이전일 것으로 추측된다.

엑스트레이더를 공격한 주체는 북한 배후의 공격그룹 UNC4736으로 추정되는데, 사이버·인프라보안국(CISA)은 이들이 금전 목적으로 활동하는 북한의 애플제우스(AppleJeus) 멀웨어 활동과 관련 있는 것으로 추정하고 있다. 구글 위협분석그룹(TAG)도 감염된 엑스트레이더가 배포되기 전인 지난해 2월 이와 같은 내용의 분석 보고서를 공개한 바 있다.

UNC4736은 금전 목적의 공격그룹이며, 암호화폐·핀테크 서비스 공격에 집중하고 있다. 엑스트레이더와 3CX 공급망 공격에 유사성이 있다는 점에서 이번 공격 역시 UNC4736에 의해 발생한 것으로 보인다.

현재까지는 이 공급망 공격을 통해 얼마나 많은 기업이 감염됐으며, 감염된 네트워크에서 공격자가 어떤 침해 행위를 했는지 밝혀지지 않았다. 이 사건을 조사하고 분석한 맨디언트, 크라우드스트라이크, 카스퍼스키 등도 구체적인 피해에 대해서는 ‘분석 중’이라고 밝히고 있다.

한편 맨디언트는 이번 사고를 분석한 블로그에서 “소프트웨어 공급망이 연쇄적으로 공격받았으며, 이는 북한 해커들의 능력이 지속적으로 높아지고 있다는 것을 뜻한다. 북한 공격자들은 악성코드 개발과 배포를 위한 창의적인 방법을 사용하고 있으며, 네트워크 간 이동으로 감염 범위를 확장하고 있다”고 밝혔다.

김선애 기자 다른기사 보기