북 소행 ‘3CX’ 해킹, 다른 소프트웨어 감염서 시작

0:00 / 0:00

앵커 : 북한 해킹 조직의 소행으로 알려진 지난달 기업용 음성 및 비디오 통화 프로그램 '3CX' 해킹 사건이, 이보다 먼저 해킹 공격을 받아 감염된 다른 악성 소프트웨어에서 시작된 것이라는 분석이 나왔습니다. 지정은 기자가 보도합니다.

미국의 사이버 보안 기업 ‘맨디언트’는 20일 보고서를 통해 소프트웨어 업체 ‘트레이딩 테크놀로지스’의 소프트웨어가 먼저 멀웨어(악성 소프트웨어)에 감염됐고, 이후 북한 해킹 조직이 이 감염 경로를 이용해 3CX를 해킹했다고 밝혔습니다.

맨디언트는 이처럼 한 소프트웨어 공급망에 대한 해킹 공격이 또 다른 소프트웨어 공급망 해킹으로 이어지는 사례를 확인한 것은 이번이 처음이라고 설명했습니다.

공급망이란 제품이나 서비스가 공급자로부터 소비자에게 전달되기까지의 조직, 사람, 정보, 자원 등에 대한 체계를 말합니다.

3CX는 기업용 음성 및 비디오 통화 프로그램으로, 일일 사용자 수는 1천2백만명이 넘는 것으로 알려졌습니다.

3CX의 설치 프로그램에 악성코드가 삽입돼 있다는 사실은 지난달 처음 알려졌는데, 여러 사이버 보안 업체들은 이 공격의 배후로 북한 해킹 조직을 지목했습니다.

맨디언트와 3CX에 따르면, 지난해 3CX 회사에서 근무하는 한 직원은 트레이딩 테크놀로지스 웹사이트에서 ‘엑스트레이더’(X-TRADER)라는 금융 거래용 소프트웨어를 개인 컴퓨터에 다운받았습니다.

당시 엑스트레이더는 이미 멀웨어에 감염돼 있었는데, 북한 해커들은 이를 이용해 직원의 개인 컴퓨터에 침입해 이 직원의 인증정보(credentials)를 훔쳤습니다.

북한 해커들은 이 직원의 컴퓨터에 침입한 지 이틀 만에 이 인증정보를 이용해 가상사설망(VPN)으로 3CX에도 침입한 것입니다.

이번 공격을 감행한 조직은 ‘UNC4736’으로 명명된 북한의 해킹 조직으로, 금전 탈취를 목적으로 하는 ‘애플제우스’라는 멀웨어와 관련이 있다고 보고서는 설명했습니다.

애플제우스는 북한 연계 해킹 조직인 ‘라자루스’가 2018년부터 사용한 악성코드로 주로 가상화폐를 갈취하는 데 이용되는 것으로 알려졌습니다.

한 소프트웨어 공급망에서 다른 소프트웨어 공급망으로 이어지는 이러한 공격 방식은 북한 해커들이 창의적인 방식으로 멀웨어를 개발 및 배포하고, 여러 네트워크(망)를 옮겨 다니면서 북한의 이익에 부합하는 작전을 수행할 수 있다는 사실을 보여준다고 보고서는 지적했습니다.

앞서 지난 13일 한미 친선 비영리단체 ‘코리아소사이어티’가 개최한 북한의 사이버 위협 관련 토론회에서 맨디언트의 마이클 반하트(Michael Barnhart) 수석분석가는 북한 해킹 조직들이 다양한 방식으로 진화하고 있다고 평가했습니다.

반하트 분석가 :각각의 북한 해킹 조직들이 (들키지 않기 위해) 서로 대화하고 협력하진 않았는데, 코로나19로 고립된 상황이어서 그런지 최근 들어서는 유기적으로 협력하고 도움을 주고 받는 것으로 보입니다.

한편 맨디언트는 지난달 보고서를 통해 북한 해킹조직 ‘김수키(APT43)’가 한반도 전문가들을 대상으로 전방위적으로 공격을 감행하고 있다고 분석하기도 했습니다.

기자 지정은, 에디터 박정우, 웹팀 김상일