Home > 전체기사
[긴급] 베라포트 악용한 공급망 공격 발견! 북한 해킹조직 라자루스로 추정
  |  입력 : 2020-11-16 22:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정상 보안 프로그램으로 속인 악성 파일 소프트웨어 공급망 통해 유포 시도
해킹으로 유출한 코드사인 인증서로 정상 프로그램인 것처럼 위장


[보안뉴스 이상우 기자] 국내 소프트웨어 배포 솔루션을 악용한 공급망 공격을 시도한 정황이 포착됐다. 이번 공격은 금융권에서 주로 사용하는 위즈베라 베라포트(VeraPort)를 이용한 것으로 알려졌다. 글로벌 보안 기업인 이셋코리아에 따르면 공격자는 여러 기업에서 유출한 보안 프로그램과 코드사인 인증서를 이용해 변조된 악성 프로그램을 정상인 것처럼 꾸며 소프트웨어 공급망을 통해 유포하려 했다.

[이미지=이셋코리아]


공급망 공격이란 소프트웨어 및 업데이트 배포 과정에 해커가 침입해 변조된 악성 파일을 정상으로 속여 유포하는 공격이다. 베라포트는 ‘통합 설치 관리 솔루션’으로, 사용자가 인터넷 뱅킹 등을 할 때 필요한 각종 보안 플러그인을 한 번에 설치할 수 있게 해주는 기능을 한다. 사용자 입장에서는 각각의 플러그인을 하나씩 내려받아 설치하는 번거로움을 줄일 수 있게 해준다. 특히 PC로 인터넷 뱅킹을 이용하는 국내 사용자라면 누구나 PC에 설치돼 있는 솔루션이다.

이셋(ESET)에 따르면 이번 공격에서 해커는 코드를 변조한 악성 소프트웨어를 정상인 것처럼 위장하기 위해 불법으로 유출한 코드사인 인증서를 사용했으며, 이 인증서 중 하나는 국내 보안회사의 미국 지사가 발급한 것으로 나타났다. 또한 아이콘이나 파일 이름 역시 실제 국내에서 쓰이는 보안 소프트웨어와 유사하게 제작했다.

이셋은 이번 공격을 올해 초 진행된 라자루스의 ‘Operation BookCodes’의 연장선이라고 보고 있으며, 해킹에 쓰인 기법이나 해커의 특성, 네트워크 인프라 설정 등 유사성을 통해 이번 공격 역시 동일한 조직이라고 추정하고 있다. 라자루스(Lazarus)는 북한을 배후에 둔 것으로 알려진 국제 해킹조직으로, 워너크라이 등 랜섬웨어 공격이나 소니픽쳐스 해킹 등으로 이름을 알렸다.

한편, 이번 공격에 관한 자세한 내용은 에셋의 위라이브시큐리티(WeLiveSecurity) 블로그에 등록돼 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상