2024-03-29 00:50 (금)
많은 대기업들이 사용하는 유명 서버관리제품에 백도어 발견돼
상태바
많은 대기업들이 사용하는 유명 서버관리제품에 백도어 발견돼
  • 길민권 기자
  • 승인 2017.08.24 17:36
이 기사를 공유합니다

중국어 기반 사이버 스파이 조직 Winnti APT가 사용하는 PlugX 악성코드 변종 추정

▲ 넷사랑 서버관리 솔루션에 숨겨진 백도어
▲ 넷사랑 서버관리 솔루션에 숨겨진 백도어. Securelist 블로그 이미지.
최근 전 세계 수백 개 대기업이 사용하는 서버 관리 소프트웨어 제품에 백도어가 설치되어 있는 것이 발견됐다. 이 백도어는 공격자가 추가로 악성 모듈을 다운로드하거나 데이터를 훔치는 발판으로 사용된다.

해당 백도어를 발견한 카스퍼스키랩 측은 피해 소프트웨어 공급업체인 넷사랑(NetSarang)에 백도어에 대해 통보했고, 해당 업체 측에서는 악성 코드를 신속히 제거한 후 고객에게 업데이트를 배포했다.

이번 ‘섀도우패드(ShadowPad)’는 최대 규모의 공급망 공격 중 하나로 알려져 있으며, 신속히 탐지해 조치한 덕분에 전 세계의 수많은 기관이 공격 표적이 되는 사고를 방지할 수 있었다.

올해 7월, 카스퍼스키랩 파트너 금융 기관 한 곳이 글로벌 위협 정보 분석팀(GReAT)을 찾아왔다. 해당 기관의 보안 전문팀은 금융 거래 처리와 연관된 시스템에서 의심스러운 DNS(도메인 네임 서버) 요청을 보내고 있다면서 우려를 표했다.

추가 조사 결과 DNS 요청이 발생한 근원지는 정상적인 공급업체의 서버 관리 소프트웨어로 밝혀졌으며, 금융 서비스, 교육, 통신, 제조, 에너지 및 교통 등 다양한 업계의 고객이 해당 업체의 소프트웨어를 사용하고 있었다. 가장 큰 우려사항은 이러한 요청을 발송하는 기능은 해당 소프트웨어 공급업체의 개발 설계가 아니라는 점이었다.

카스퍼스키랩의 심층 조사 결과, 해당 소프트웨어의 최신 버전 내부에 악성 모듈이 숨겨져 있었고, 이 악성 모듈이 의심스러운 요청을 발송한 것으로 드러났다. 감염된 소프트웨어의 업데이트가 설치된 후 악성 모듈이 C&C 서버인 특정 도메인으로 8시간에 한 번씩 DNS 쿼리를 보내기 시작한다.

이 요청에는 감염된 시스템의 기본 정보(사용자 이름, 도메인 이름, 호스트 이름)가 담겨 있다. 해커가 해당 시스템에 관심을 가질 경우 커맨드 서버가 요청에 응답하고 준비를 모두 마친 백도어 플랫폼을 활성화시키면, 백도어가 자체적으로 피해자의 컴퓨터 내부에 몰래 배포된다. 그리고는 해커의 지시에 따라 백도어 플랫폼이 악성 코드를 추가로 다운로드하고 실행할 수 있는 것이다.

문제를 밝혀낸 직후 카스퍼스키랩 연구진은 넷사랑 측에 연락을 취했고, 넷사랑 또한 신속히 대응해 악성 코드를 제거한 업데이트 버전을 내놓았다.

카스퍼스키랩 연구진은 이 악성 모듈이 지금껏 홍콩에서 활성화되었지만 다른 지역의 여러 시스템에도 휴면 상태로 숨어 있을 수 있으며, 사용자가 감염된 소프트웨어를 업데이트하지 않았다면 그 가능성이 특히 크다고 보고했다.

해커의 도구, 기술 및 공격 절차를 분석하면서, 카스퍼스키랩 연구진은 이들 간의 몇몇 유사점을 보면 중국어 기반 사이버 스파이 조직으로 알려진 Winnti APT가 사용하는 PlugX 악성 코드 변종일 가능성이 있다는 결론을 내렸다. 하지만 Winnti APT와 확실하게 연결 짓기에는 아직은 근거가 불충분하다.

카스퍼스키랩 글로벌 분석연구팀(GReAT)의 박성수 책임연구원은은 “섀도우패드는 공급망 공격이 성공을 거둘 때 얼마나 위험하고 광범위할 수 있는지 잘 보여준다. 이를 통해 악성코드를 널리 유포할 수 있고 데이터를 수집할 기회가 주어진다는 사실을 고려하면, 대중적으로 쓰이는 다른 소프트웨어 구성 요소에도 다시금 스며들 것이 분명하다”며 “다행히 넷사랑은 경고에 신속히 대응해 안전한 소프트웨어 업데이트를 내놓았고, 수많은 고객사의 데이터 도난을 막아낸 것이다. 하지만 이번 사건은 네트워크 활동을 모니터링하고 이상 징후를 감지할 수 있는 우수한 솔루션이 대기업에게 절실하다는 점을 여실히 보여준다. 그러한 솔루션을 활용한다면, 해킹 조직이 합법적 소프트웨어에 악성코드를 아무리 복잡하게 숨겨놓아도 의심스러운 활동을 손쉽게 포착할 수 있을 것”이라고 설명했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★