3CX 공급망 공격으로 전 세계 피해 입혀
[데이터넷] 한국과 영국의 사이버 안보 기관이 23일 북한의 소프트웨어 공급망 공격을 진행하고 있다며 주의를 당부했다.
국가정보원 국가사이버안보센터(NCSC)는 영국 정부통신본부(GCHQ) 소속 국가사이버안보센터(NCSC)와 합동으로 ‘사이버보안 권고문’을 발표하고, 정부, 금융, 방산기업 등에서 사용하고 있는 소프트웨어 제품을 대상으로 다수의 공급망 공격 시도를 확인했다고 밝혔다.
양 기관은 북한 공급망 공격을 통해 북한 정권을 위한 수익 창출과 스파이 활동을 벌이고 있다고 분석했다. 이들은 국방분야에 국한되지 않고 다양한 분야에서 첨단 기술을 탈취하고 있다.
홈페이지·보안인증 SW·망연계 취약점 악용
대표적인 사례가 드림시큐리티 보안인증 소프트웨어 ‘매직라인포앤엑스(MagicLine4NX)’ 취약점을 이용한 것이다. 공격자는 언론사 홈페이지를 해킹해 특정 기사에 악성 스크립트를 숨겨 방문자를 감염시켰다. 이 스크립트는 특정 IP 대역이 접속할 경우 동작하도록 구현됐으며, 매직라인포앤엑스가 설치돼 있으면 이 소프트웨어의 취약점을 이용해 악성 스크립트를 동작시킨다. 공격자는 C2 서버를 통해 피해자 PC의 원격제어 권한을 획득한다.
공격자는 망연계 제품 취약점을 통해 인터넷 PC에서 외부 서버로 권한없이 접근할 수 있었으며, 망연계 제품 데이터 동기화 기능을 악용해 내부 서버에 악성코드를 전파한다. 공격자는 최종적으로 업무 PC에 정보절취용 악성코드를 감염시켰다.
업무PC에 설치된 악성코드는 망연계 제품 내부 서버, 외부 인터넷 서버 등 2개 C2와 통신했으며, 암호화된 추가 페이로드를 받아 실행했다. 추가 감염신호를 C2 서버에 전송하기 위해 망연계 내부 서버에서 외부 서버로 이동을 시도했는데, 다행이 이 사건에서는 보안 정책에 의해 차단됐다.
중요 데이터 액세스 권한 최소화 해야
3CX 공급망 공격은 전 세계 여러 기업과 기관을 강타한 것으로, 공격자는 3CX 빌드 프로세스에 잠입해 설치 프로그램 실행파일에 악성코드를 삽입하고 정상 코드사이닝까지 해 합법적인 경로로 고객에게 배포됐다.
이 공격은 윈도우와 맥OS에서 각각 다르게 진행됐는데, 윈도우에서는 배포 후 악성코드는 7일동안 백그라운드에서 대기하다가 암호화된 페이로드를 로드했으며, 깃허브 저장소에서 공격자가 제어하는 C2 도메인 목록을 다운로드 한 후 다음 단계 다운로드를 위해 해당 도메인 중 하나와 연결했다. 맥OS에서는 7일~20일 동안 대기하다가 사용자 지정 난독화를 사용해 악성코드가 공격자가 제어하는 C2 서버에 감염신호를 전송했다.
이러한 피해를 완화하기 위해서는 공급망 사이버 보안에 대한 이해를 높이고, 정기적인 사이버 보안 교육을 제공해야 한다. 중요 데이터 액세스 포인트를 확인하며, 액세스 권한을 최소화하고 관리한다. 알려진 취약점은 신속하게 제거하며, 공급망 소프트웨어와 OS, 백신의 최신 버전을 유지하고, MFA를 사용해 무단 로그인을 방지한다.
공급망 애플리케이션의 비정상 트래픽을 분석하고, 네트워크 인프라를 모니터링해 위협을 식별, 빠르게 대응해야 한다.
