Offcanvas

CSO / 개발자 / 검색|인터넷 / 보안 / 분쟁|갈등 / 애플리케이션

'3CX 해킹 사건으로 드러난' 연쇄적 소프트웨어 공급망 침해의 위험성

2023.04.25 Lucian Constantin  |  CSO
3월 말, 60만 곳이 넘는 고객사를 보유한 국제 VoIP 소프트웨어 회사 3CX가 심각한 소프트웨어 공급망 침해를 당했다. 회사의 윈도우 애플리케이션과 맥OS 애플리케이션 둘 다 악성 코드에 감염된 것이다. 새 증거에 따르면, 북한 정부가 지원하는 해커들이 선물 거래용 서드파티 애플리케이션과 관련된 소프트웨어 공급망 공격을 감행한 결과 회사의 네트워크 및 시스템에 접근할 수 있었던 것으로 보인다.

이 사건의 수사를 맡은 사이버보안 회사 맨디언트(Mandiant) 사건 대응 팀은 보고서에서 “이번엔 확인된 소프트웨어 공급망 침해는 연쇄적인 소프트웨어 공급망 침해로 이어진 최초의 사례로 보인다. 이는 특히 위협 행위자가 이번 수사에서 발견된 방식으로 연쇄적인 침투할 수 있을 때 침해가 미칠 수 있는 범위를 보여준다”라고 밝혔다.
 
Image Credit : Getty Images Bank

북한과 3CX 공격과의 연계성
3CX 해킹 사건에서 공격자는 회사의 네트워크를 통한 측면 이동해 회사의 윈도우 및 맥OS용 내부 소프트웨어 빌드 서버를 침해했다. 그 결과, 공격자는 악성 라이브러리를 윈도우 및 맥OS용 3CX 데스크톱 앱(Desktop App) 버전에 주입할 수 있었다. 또 이를 빌드 프로세스 중에 개발자의 인증서로 서명하게 하였다. 이렇게 악성코드가 주입된 버전은 이후 업데이트 프로세스의 일환으로 배포됐다.

업데이트 7로 배포된 윈도우 18.12.407 및 18.12.416 버전과 업데이트 6으로 배포된 맥OS 18.11.1213 버전, 그리고 업데이트 7에 포함된 18.12.402, 18.12.407 및 18.12.416 버전이 영향을 입었다.

악성코드가 주입된 윈도우 버전은 맨디언트가 서든아이콘(SUDDENICON)이라고 명명한 중간 맬웨어 다운로더를 배포했다. 이 다운로더는 깃허브(GitHub) 저장 소에 연결하여 아이콘 파일 내부에 숨겨진 명령통제(C2) 주소를 획득한 후, C2 서버에 접촉하여 아이코닉스틸러(ICONICSTEALER)라고 명명된 정보 탈취기를 배포하고 브라우저 이력은 물론 애플리케이션 구성 데이터를 수집한다.

카스퍼스키 랩(Kaspersky Lab) 연구진은 공격자가 일부 3CX 피해자에게 추가 백도어(backdoor) 프로그램을 배포한 경우도 있다고 전했다. 고푸람(Gopuram)으로 알려진 이 백도어는, 2020년 이후 암호화폐 회사 대상 등 다양한 공격에 사용됐다. 

북한 당국이 지원하는 해커들은 최근 몇 년간 암호화폐 사용자 및 회사를 공격한 것으로 알려져 있으며 이는 정권을 위한 자금을 마련하거나 사이버 첩보 작전을 위한 자금을 직접 조달하기 위한 것으로 추정된다. 한편 고푸람은 과거에 북한 국가 지원 행위자 라자루스(Lazarus) 집단과 관련된 백도어인 애플제우스(AppleJeus)와 함께 컴퓨터 시스템에서도 발견된 바 있다.

개인용 컴퓨터(PC) 침해가 3CX 침해로 이어져
맨디언트가 최근에 발견한 내용에 따르면, 해커들이 3CX 네트워크에 침투한 것은 회사 직원 중 한 명이 트레이딩 테크놀로지(Trading Technologies)에서 나온 엑스트레이더(X_TRADER)라는 선물 거래 플랫폼을 2022년 개인용 컴퓨터에 설치한 후였다. 

이 소프트웨어에는 별도의 소프트웨어 공급망 공격의 일환으로 백도어를 통해 악성코드가 주입된 것으로 드러났다. 맨디언트는 이 백도어를 베일드시그널(VEILEDSIGNAL)이라고 부른다.

엑스트레이더 소프트웨어는 2020년 트레이딩 테크놀로지에 의해 사용이 중단됐으나 2022년 회사 웹사이트에서 여전히 다운로드 가능했다. 악성코드가 주입된 버전은 트레이딩 테크놀로지에 속하며 2020년10월 만료 예정인 인증서로 디지털 서명됐다.

공격자는 배일드시그널 백도어를 통해 3CX 직원의 컴퓨터에 관리자로 접근하여 직원의 회사 인증정보를 훔칠 수 있었고, 이틀 후 훔친 인증정보를 사용해 VPN을 통해 회사 네트워크에 접속한 후 다른 인증정보 탈취와 네트워크를 통한 측면 이동을 개시했다. 그 과정에서 네트워크 내에 지속적인 접근을 유지하기 위해 패스트 리버스 프록시(FRP)라는 오픈소스 도구를 배포했다.

맨디언트 사건 대응 팀은 보고서에서 “결과적으로 공격자들은 윈도우와 맥OS 빌드 환경 둘 다 침해할 수 있었다. 윈도우 빌드 환경에 배포한 택스홀(TAXHAUL) 런처와 콜드캣(COLDCAT) 다운로더는 이케익스트(IKEEXT) 서비스를 통한 DLL 사이드로딩을 수행하여 지속됐고 로컬시스템(LocalSystem) 권한으로 실행되었다. 맥OS 빌드 서버는 런치 대몬(Daemons)을 지속성 메커니즘으로 사용하는 풀랫(POOLRAT) 백도어로 침해됐다”라고 밝혔다.

택스홀, 콜드캣, 풀랫 맬웨어 프로그램은 4월 11일 초기 발견 결과를 담은 보고서에 보다 상세히 기술됐다. 구 버전 풀랫은 악성코드가 주입된 또 다른 애플리케이션인 코인고트레이드(CoinGoTrade)와 관련된 애플제우스 작전에 대한 조언 보고서에서 2021년 CISA에 의해 기술됐다.

이 사건은 직원이 관리자 권한이 있는 개인 컴퓨터에서 회사 네트워크에 접속하여 작업하는 위험성을 드러낸다. 악성코드가 주입된 엑스트레이더 소프트웨어는 개인용이든 업무용이든 회사에서 제공한 것으로서 직원이 미승인 소프트웨어를 개인 용도로 설치할 권한이 없는 컴퓨터에서 맬웨어 방지 기능을 피할 수 있었을 것이다.

연쇄적인 소프트웨어 공급망 침해
이번 사건은 공급망 침해가 또 다른 공급망 침해로 이어진 최초의 확인된 사례다. 그러나 보안 연구자들은 이런 가능성에 대해 수년 전부터 경고해 왔으며 연쇄적인 공급망 침해가 예전에 발생한 적이 있다는 의심도 제기된 바 있다. 

예를 들어, APT 41, 윈티(Winnti) 또는 바리움(Barium)라고 알려진 중국 관련 APT 집단은 서로 연결되었을 가능성이 있는 일련의 소프트웨어 공급망 공격을 주도했던 바 있다.

2017년, 이 집단은 서버 관리 소프트웨어 제작 회사 넷사랑(NetSarang)을 침해하여 회사 제품 중 하나에 악성코드를 주입했다. 그 해 말에는 매우 인기 있는 시스템 정리 도구인 씨클리너(CCleaner)의 개발 인프라에 침투하여 악성코드가 주입된 씨클리너 버전을 220만 명의 사용자에게 배포했다. 

2년 후, 같은 집단은 에이수스텍 컴퓨터(ASUSTeK Computer)의 시스템에 침투하여 이 회사가 제작한 많은 윈도우 컴퓨터에 미리 설치되는 에이수스 라이브 업데이트 유틸리티(ASUS Live Update Utility)의 업데이트에 악성코드를 주입해 내보내는 데 성공했다. 이 악성 업데이트는 2,600개가 넘는 기업 소유 시스템으로 전달됐다.

공격자들은 씨클리너 공격 피해자에게 배포된 2차 페이로드를 매우 신중하게 선택했다. 그들은 씨클리너 백도어를 사용하여 흥미로운 표적을 파악한 후 HTC, 삼성, 신텔(Sintel), 소니(Sony), 인텔(Intel), 보다폰(Vodafone), 마이크로소프트(Microsoft), VM웨어(VMware), O2, 엡손(Epson), 아카마이(Akamai), 디링크(D-Link), 구글(Google), 시스코(Cisco) 와 같은 유명 기술회사에 속한 시스템에 특수 맬웨어 배포를 시도했다. 따라서, 에어수스에서와 같은 후속 공급망 침해 중 일부가 넷사랑 사건 아니면 씨클리너 사건으로 시작되었을 가능성이 있다. 단 확인된 것은 아니다.

2020년에는 미국 소프트웨어 회사 솔라윈즈(SolarWinds)의 인기 있는 기업 네트워크 모니터링 제품 오리온(Orion)에 러시아 국가 지원 APT29이 악성코드를 주입한 후 이를 수백 곳의 조직과 연방기관의 수천 대의 시스템에 업데이트로 배포한 사건이 발생했다. 

당시에 큰 우려사항은 추가적인 소프트웨어 공급망 침해로 이어질 가능성이었다. 사이버 및 신흥 기술 분야 국가안보보좌관 앤 노이버거는 “잠재적인 접근 규모는 알려진 침해 건수를 훨씬 넘는다”라며“왜냐하면 민간 분야 침해 피해자의 다수가 기술 회사이며 여기에는 제품이 추가 침투를 실행하는 데 이용될 수 있는 회사들의 네트워크도 포함되기 때문이다”라고 밝혔다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.