북한 해킹 조직이 전 세계 개발자들이 널리 사용하는 오픈소스 소프트웨어에 악성코드를 심어 유포한 것으로 드러났다. 정상적인 소프트웨어 업데이트를 가장한 '공급망 공격'으로 사용자들이 감염 사실을 전혀 알아차리지 못했다는 점에서 심각성이 크다.
1일(현지시간) 구글은 북한과 연결된 해킹 그룹 'UNC1069'가 오픈소스 소프트웨어 '악시오스(Axios)'의 업데이트 파일에 악성코드를 삽입해 배포했다고 발표했다.
악시오스는 웹브라우저와 애플리케이션이 서버와 데이터를 교환할 때 사용되는 핵심 라이브러리로, 매주 수천만 회 이상 다운로드되는 필수 소프트웨어다.
보안업체 스텝시큐리티 분석에 따르면 해커들은 지난달 31일 주요 관리자 계정을 탈취한 후 정식 패키지에 악성코드를 주입했다. 공격자들은 개발자 계정을 장악한 뒤 공식 업데이트 채널을 통해 악성코드를 유포하는 수법을 사용했다.
이번 공격의 핵심은 사용자들이 정상적인 업데이트로 인식하고 설치했다는 점이다. 소프트웨어 자체를 감염시켜 이를 사용하는 모든 시스템으로 피해가 확산되는 '공급망 공격' 방식으로, 일반적인 피싱이나 악성링크 공격보다 탐지와 차단이 매우 어렵다.
해커들이 삽입한 악성코드는 백도어 프로그램 'WAVESHAPER.V2'로 확인됐다. 이 프로그램은 사용자 컴퓨터의 권한을 탈취해 로그인 정보와 금융 데이터를 훔칠 수 있도록 제작됐다.
악성코드는 발견 즉시 제거됐지만, 감염된 버전이 유포된 기간 동안의 정확한 피해 규모는 아직 파악되지 않은 상태다.
구글은 이번 해킹의 배후로 2018년부터 활동해온 북한 연계 조직 'UNC1069'를 지목했다.
이 조직은 주로 암호화폐와 금융 분야를 타깃으로 공격을 감행해 무기 개발 자금을 조달해온 것으로 알려져 있다. 구글은 올해 2월에도 이 그룹의 위험성을 경고하는 보고서를 공개한 바 있다.
'공급망 공격'은 북한 연계 해커들이 즐겨 사용하는 공격 방식이다. 소프트웨어 자체를 오염시켜 이를 다운로드하는 사용자들을 연쇄적으로 감염시키는 수법이다.
존 헐트퀴스트 구글 위협인텔리전스 수석 분석가는 "북한 해커들은 소프트웨어 공급망을 공격해 암호화폐를 탈취하는 데 상당한 경험을 축적하고 있다"고 밝혔다.
보안업계는 이번 공격이 다양한 운영체제를 동시에 겨냥했다는 점에도 주목하고 있다. 사이버보안 전문기업 일래스틱 시큐리티는 분석 보고서에서 "해커들이 윈도(Windows), 맥(macOS), 리눅스(Linux) 등 운영체제별로 악성 소프트웨어를 개발했다"며 "수백만 개 시스템에 침투할 수 있는 전방위 공격 경로를 구축한 것"이라고 평가했다.
소스코드가 공개돼 있고 누구나 수정할 수 있는 오픈소스 소프트웨어의 특성을 악용했다는 점에서 우려가 커지고 있다.
톰 헤겔 센티넬원 선임연구원은 "웹사이트 접속이나 은행 잔고 확인 등 일상적인 작업만으로도 해킹에 노출될 수 있다"며 "사용자가 링크를 잘못 클릭하는 등의 실수 없이도 자신도 모르는 사이 감염될 수 있다는 점이 이번 공격의 핵심"이라고 경고했다.