원격지원 SW 타깃 사이버공격, 중국정부 지원 해커조직 소행?

중국정부 지원 해커조직, 원격지원 SW 업데이트 기능 악용해 국내 기업고객 뚫어
원격지원 SW 업데이트 서버 변조해 원격 액세스 도구 보내 추가 악성코드 실행

[보안뉴스 김경애 기자] 본지가 지난 8월 6일 단독 보도한 원격지원 SW 업체 R사 공격 해커가 중국 정부기관의 지원을 받는 중국해커 그룹이라는 의견이 제기돼 관심이 모아지고 있다. 해당 해커조직은 해당 SW의 업데이트 기능을 이용해 국내 기업을 뚫은 것으로 조사됐다. 한국 기업의 정보탈취를 목표로 한 전형적인 공급망 공격(Supply Chain Attack)으로 공공기관 및 기업은 공급망 공격에 대비한 보안대책 마련에 나서야 할 것으로 보인다.

▲Operation Red Signature의 공격 체인[이미지=트렌드마이크로]

이번 R사의 공급망 공격에 대해 연구 및 분석한 글로벌 보안업체 트렌드마이크로와 사이버전 악성코드 연구·추적그룹 이슈메이커스랩(IssueMakersLab, 리더 테일러 김)은 이를 ‘오퍼레이션 레드 시그니처(Operation Red Signature)’로 명명했으며, 해당 공격은 지난 7월 말에 발견됐다고 밝혔다.

공격 순서를 살펴보면 첫째, 해커는 R사 인증서를 탈취해 멀웨어를 R사 인증서로 서명한 후, 공격자 서버에 업로드했다. 그 다음 공격자는 해당 SW의 업데이트 서버를 해킹해 업데이트 서버 설정파일을 변경했다.

이와 관련 글로벌 보안업체 트렌드마이크로는 “탈취된 인증서로 서명된 ShiftDoor 악성코드도 추가로 발견했으며, 4월 8일 서명된 것으로 보아 인증서는 2018년 4월 이전에 도난당했을 가능성이 농후하다”고 분석했다.

둘째, 클라이언트가 공격 대상 기업에 속한 특정 범위의 IP 주소에서 연결하는 경우 업데이트 서버는 공격자의 서버에서 update.zip 파일을 수신 후 전송한다. 그 다음 원격 지원 프로그램은 업데이트 파일을 정상 파일로 인식하고 업데이트 파일에 포함된 9002 RAT 악성코드를 실행한다. 그러면 공격자는 9002 RAT를 통해 공격자 서버에서 추가로 악성코드를 다운로드하고 실행한다.

추가로 다운로드되는 툴은 active directory 개체 보기, active directory 개체 검색, active directory 정보 수집, 공개된 해킹 툴 등 다양한 악성툴이며, 9002 RAT에 의해 해킹당한 시스템에 다운로드된다.

이러한 툴을 통해 공격자는 공격 대상의 웹 서버 및 데이터베이스에 저장된 데이터를 어떻게 처리하는지 알 수 있게 된다.

악성코드 9002 RAT에 대해 트렌드마이크로는 2018년 7월 17일에 컴파일됐으며, update.zip의 구성 파일은 7월 18일에 생성됐다고 분석했다. 또한, 특정 공격에 사용된 RAT 파일이 8월에 비활성되도록 설정돼 RAT의 활동기간을 7월 18일부터 7월 31일까지로 추정했다.

특히, 9002 RAT는 공격자가 추가적인 멀웨어를 제공할 수 있는 발판 역할을 한다. 대부분이 마이크로소프트 캐비닛 형식(.cab)으로 압축된 파일 형태로 다운로드되는데, 이는 AV 솔루션에 의한 탐지를 피하기 위해 수행될 가능성이 크다.

장성민 트렌드마이크로 침해대응센터장은 “소프트웨어 프로그램 개발사의 경우 프로그램 개발도 중요하지만 무엇보다 보안에 신경써야 한다”며 “공급망 공격의 경우 개발사가 아닌 개발사의 프로그램을 이용하는 고객사가 피해를 입기 때문이다. 고객사는 특정 프로그램을 이용했다는 이유로 집중 타깃 대상이 될 수 있다. 따라서 소프트웨어 개발사는 사회적 책임 차원에서 취약점을 꼼꼼히 체크하고 상시적으로 취약점 패치를 적용하는 등 취약점 관리와 보안에 만전을 기해야 한다”고 당부했다.

공급망 공격의 대응방법으로는 △타사 제품 및 서비스 감독 △적극적 사고대응 전략 수립 △네트워크에서의 비정상적인 활동 사전 모니터링 △최소 권한 부여 원칙 적용 등이 제시됐다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)