Home > 전체기사

[긴급] 베라포트 악용한 공급망 공격 발견! 북한 해킹조직 라자루스로 추정

  |  입력 : 2020-11-16 22:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정상 보안 프로그램으로 속인 악성 파일 소프트웨어 공급망 통해 유포 시도
해킹으로 유출한 코드사인 인증서로 정상 프로그램인 것처럼 위장


[보안뉴스 이상우 기자] 국내 소프트웨어 배포 솔루션을 악용한 공급망 공격을 시도한 정황이 포착됐다. 이번 공격은 금융권에서 주로 사용하는 위즈베라 베라포트(VeraPort)를 이용한 것으로 알려졌다. 글로벌 보안 기업인 이셋코리아에 따르면 공격자는 여러 기업에서 유출한 보안 프로그램과 코드사인 인증서를 이용해 변조된 악성 프로그램을 정상인 것처럼 꾸며 소프트웨어 공급망을 통해 유포하려 했다.

[이미지=이셋코리아]


공급망 공격이란 소프트웨어 및 업데이트 배포 과정에 해커가 침입해 변조된 악성 파일을 정상으로 속여 유포하는 공격이다. 베라포트는 ‘통합 설치 관리 솔루션’으로, 사용자가 인터넷 뱅킹 등을 할 때 필요한 각종 보안 플러그인을 한 번에 설치할 수 있게 해주는 기능을 한다. 사용자 입장에서는 각각의 플러그인을 하나씩 내려받아 설치하는 번거로움을 줄일 수 있게 해준다. 특히 PC로 인터넷 뱅킹을 이용하는 국내 사용자라면 누구나 PC에 설치돼 있는 솔루션이다.

이셋(ESET)에 따르면 이번 공격에서 해커는 코드를 변조한 악성 소프트웨어를 정상인 것처럼 위장하기 위해 불법으로 유출한 코드사인 인증서를 사용했으며, 이 인증서 중 하나는 국내 보안회사의 미국 지사가 발급한 것으로 나타났다. 또한 아이콘이나 파일 이름 역시 실제 국내에서 쓰이는 보안 소프트웨어와 유사하게 제작했다.

이셋은 이번 공격을 올해 초 진행된 라자루스의 ‘Operation BookCodes’의 연장선이라고 보고 있으며, 해킹에 쓰인 기법이나 해커의 특성, 네트워크 인프라 설정 등 유사성을 통해 이번 공격 역시 동일한 조직이라고 추정하고 있다. 라자루스(Lazarus)는 북한을 배후에 둔 것으로 알려진 국제 해킹조직으로, 워너크라이 등 랜섬웨어 공격이나 소니픽쳐스 해킹 등으로 이름을 알렸다.

한편, 이번 공격에 관한 자세한 내용은 에셋의 위라이브시큐리티(WeLiveSecurity) 블로그에 등록돼 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협