"北해커 소행 추정 '3CX' 해킹, 다른 SW에 침투한 '멀웨어'서 시작"

[국이]

"北해커 소행 추정 '3CX' 해킹, 다른 SW에 침투한 '멀웨어'서 시작"

맨디언트, 조사결과 발표…"SW 공급망 공격이 다른 SW 공급망 공격 이어진 첫 사례"

지난달 기업용 음성 및 화상 통화를 제공하는 '3CX' 해킹은 북한 해킹 조직에 의한 것으로 추정되며, 이미 다른 소프트웨어에 침투했던 멀웨어(악성 소프트웨어)에서 시작된 것으로 밝혀졌다.

글로벌 사이버 보안 기업인 '맨디언트'는 20일(현지시간) 보도자료를 통해 3CX 해킹에 대한 이같은 조사 결과를 발표했다.

맨디언트 등 보안업체들은 그간 북한 연계 해커가 지난달 '3CX' 공급망을 공격한 정황을 확인하고 조사해 왔다. 3CX는 기업용 음성 및 화상 통화 프로그램으로, 1일 사용자는 1200만명을 웃돈다.

북한 연계 해킹 조직으로 추정되는 'UNC4736'은 3CX의 '3CXDesktopApp' 고객용 트로이 목마를 통해 멀웨어를 배포했다.

미국 국토안보부 산하 사이버인프라보안국(CISA)에 따르면 'UNC4736'는 금전 탈취 목적의 북한 '애플제우스'라는 멀웨어와 관련된 것으로 추정된다. 이 멀웨어는 가짜 암호화폐 앱으로, 암호화폐를 훔치는 데 이용되는 것으로 알려져 있다.

맨디언트에 따르면, 3CX 해킹은 초기 침입 벡터(해커가 네트워크에 접근하기 위한 경로나 방법)가 소프트웨어 업체 '트레이딩 테크놀로지스'에서 제공하는 패키지(엑스트레이더)에 멀웨어가 추가된 버전을 통해 이뤄졌다.

멀웨어가 추가된 엑스트레이더의 버전을 내려받아 실행하면 '베일드시그널'이라는 백도어(몰래 설치된 통신 연결 기능)가 생성돼 해킹이 용이해진다는 게 맨디언트의 설명이다.

맨디언트는 "소프트웨어 공급망 공격이 또 다른 소프트웨어 공급망 공격으로 이어지는 것을 확인한 것은 이번이 처음"이라고 밝혔다.

맨디언트에 따르면 2022년 4월 3CX 직원이 소프트웨어 제공업체 '트레이딩 테크놀로지스'에서 소프트웨어를 내려받았고, 이 과정에서 3CX 직원이 알아채지 못한 채 멀웨어가 심어진 버전이 설치됐다.

3CX 직원이 내려받은 소프트웨어는 '엑스트레이더'로, 트레이딩 테크놀로지스에서 금융 거래 목적으로 사용하는 소프트웨어였다.

해당 멀웨어는 해커에게 3CX 직원의 컴퓨터에 대한 전체 관리 권한과 시스템 수준 권한을 부여해 해커가 3CX 직원의 컴퓨터를 손상시킬 수 있었다고 한다.

이를 통해 해커는 직원의 자격 증명을 갈취, 도용해 3CX의 시스템에 관리자로 접속한 뒤 최종적으로는 3CX의 윈도우 및 맥(Mac) 빌드 서버에 침투했다. 이에 따라 해커는 멀웨어 툴을 활용해 기업에서 사용하는 3CX의 완제품에 더 많은 악성코드를 심을 수 있었다.

3CX 이전에 멀웨어에 감염된 트레이딩 테크놀로지스는 지난 2020년 엑스트레이더를 종료시켰지만 2022년에도 내려받는 것은 가능했다고 한다.

맨디언트는 "엑스트레이더의 악성 버전은 트레이딩 테크놀로지스 공식 다운로드 웹사이트에서 올라 있어 트레이딩 테크놀로지스 웹 사이트에 계정이 있는 사람은 누구나 접근해 2022년에도 소프트웨어를 내려받기 할 수 있었다"고 설명했다.

맨디언트는 트레이딩 테크놀로지스 웹사이트가 지난 2021년경 알 수 없는 수단을 통해 북한 해커에 해킹을 당했고, 이후 2022년 초에 엑스트레이더가 해킹됐다고 추정했다.

맨디언트는 "거대 공급망을 이용하는 해커는 무조건 많은 피해자들의 접근권을 확보할 수 있다"며 "데이터 범위가 커질수록 잠재적 피해 조직 수가 증가하고 3CX는 고객이 많기 때문에 만약 이 문제가 제 때 발견되지 않았다면 더 다양한 조직이 피해를 입을 수 있었다"고 지적했다.

맨디언트는 "이번 공격은 북한 해커들의 사이버 공격 능력이 진화했다는 것을 방증하는 사례"라고 덧붙였다.