카스퍼스키는 자사의 글로벌 리서치 및 분석팀이 라자루스 그룹의 워터링 홀(Watering Hole, 금융보안 프로그램을 통해 악성코드 설치) 방식과 서드파티 소프트웨어 취약점 악용을 결합한 사이버 공격을 새롭게 발견했다고 24일 밝혔다.
이 공격은 한국 내 다양한 조직을 표적으로 하며, 조사 중 국내에서 널리 사용되는 이노릭스 에이전트(Innorix Agent, 파일 전송 소프트웨어)에서 제로데이(Zero-day) 취약점이 발견됐다. 해당 취약점은 즉각 패치됐다.
이 소식은 싱가포르에서 4월 23일부터 25일까지 3일간 개최되는 IT행사인 ‘자이텍스 아시아(GITEX Asia)’에서 공개됐으며, 라자루스 그룹이 한국 소프트웨어 생태계에 대한 깊은 이해를 바탕으로 다단계 고도화 사이버 공격을 수행할 수 있음을 보여준다고 카스퍼스키는 설명했다.
카스퍼스키 GReAT의 연구에 따르면, 이번 공격의 대상은 소프트웨어, IT, 금융, 반도체, 통신 등 한국 내 최소 6개 조직에 이르며 실제 피해 조직 수는 더 많을 수 있다. 카스퍼스키는 이번 캠페인을 ‘오퍼레이션 싱크홀(Operation SyncHole)’로 명명했다.
라자루스 그룹은 2009년을 전후해 활동을 시작한 자금과 조직력이 탄탄한 악명 높은 해킹 조직이다. 이번 캠페인에서는 이노릭스 에이전트(Innorix Agent)의 원데이 취약점(One-day Vulnerability, 하루 차이로 공개된 취약점)을 악용한 정황이 포착됐다.
이노릭스 에이전트는 행정 및 금융 시스템 내 보안 파일 전송을 위해 사용되는 브라우저 통합형 서드파티 도구다. 이 취약점을 활용해 공격자는 측면 이동을 가능하게 하고, 추가 악성코드 설치를 진행했다. 최종적으로는 라자루스의 대표 악성코드인 ThreatNeedle과 LPEClient가 내부 네트워크에 배포되어 장악력을 강화했다.
카스퍼스키 GReAT는 악성코드의 행위 분석 중에 임의 파일 다운로드 제로데이 취약점을 추가로 발견했으며, 이는 실제 공격자가 활용하기 전에 사전 탐지된 것이다. 카스퍼스키는 해당 문제를 한국인터넷진흥원과 공급사에 신고했으며 해당 소프트웨어는 패치 버전으로 업데이트됐다.
이효은 카스퍼스키 한국지사장은 “라자루스와 같은 위협은 서드파티 소프트웨어의 취약점을 악용하여 핵심 산업에 대한 정교한 공격을 감행하고 있다”며 “이는 사이버 보안 위협이 얼마나 고도화될 수 있는지를 보여주는 대표적인 사례”라고 설명했다.
이어 “우리나라의 과학 기술이 빠르게 발전하고 있는 만큼 정부와 민간 기업은 더욱 긴밀히 협력해 위협 인텔리전스와 리소스를 공유함으로써 국가적 차원의 디지털 방어를 강화해야 한다”며 “또한 각각의 조직에서도 단순히 취약점을 패치하는 것에서 벗어나 소프트웨어 환경의 보안 상태를 지속적으로 모니터링하고 평가하는 등 보다 적극적인 접근 방식을 채택해야 한다”고 강조했다.
헬로티 이창현 기자 |
