맨디언트, ‘북한 공격자 소행 추정 3CX 공급망 공격’ 보고서 발표
북한 사이버공격 능력 진화 방증 사례…맞춤형 멀웨어와 침투 테스트 툴 혼합 활용

[보안뉴스 김영명 기자] 이번 북한의 3CS 공급망 공격 사건은 ‘소프트웨어 공급망 공격’이 또 다른 ‘소프트웨어 공급망 공격’으로 이어진 최초의 공격이다. 거대 공급망을 이용하는 공격자는 무조건 많은 피해자의 액세스를 확보할 수 있다. 데이터 풀이 커질수록 잠재적 피해 조직 수가 증가하는데, 3CX는 엔터프라이즈 고객이 많기 때문에 만약 이 문제가 제때 발견되지 않았다면 더 다양한 조직이 피해를 입을 수 있었다.

이번 공격은 북한 공격자들의 사이버공격 능력이 진화했다는 것을 방증하는 사례로, 이들은 액세스 권한을 얻으면 맞춤형 멀웨어와 대중적으로 사용 가능한 침투 테스트 툴을 혼합해 조직 내에서 수평적으로 이동하고 있었다.

[보안뉴스 / 4.21.] 북한 3CX 공급망 공격... SW 공급망 공격이 2차 공격으로 이어진 최초 공격

▲북한 3CX 공급망 공격의 모식도[자료=맨디언트]

맨디언트는 최근 ‘1차 소프트웨어 공급망 침해로 시작된 3CX 소프트웨어 2차 공급망 침해 : 북한 공격자로 의심’ 보고서를 발표했다. 이번 보고서에서 조사한 3CX 공급망 공격 조사 주요 내용은 크게 다섯 가지로 요약할 수 있다.

첫 번째로, 2022년 3CX 직원이 소프트웨어 제공업체 ‘트레이딩 테크놀로지스(Trading Technologies)’에서 소프트웨어를 내려받았으며, 이 과정에서 3CX 직원이 알아채지 못한 채 멀웨어가 심어진 버전이 설치됐다.

3CX 직원이 내려받은 소프트웨어는 ‘엑스트레이더(X_TRADER)’로, 트레이딩 테크놀로지스에서 금융거래 목적으로 사용하는 소프트웨어다. 트레이딩 테크놀로지스는 2020년 엑스트레이더를 종료시켰지만 2022년에도 다운로드는 가능했다. 엑스트레이더 제품의 악성 버전은 더 이상 사용이 가능한 소프트웨어가 아니기 때문에, 엑스트레이더 소프트웨어 공급망 공격의 현재 위협 정도는 범용화된 소프트웨어에 비해 상대적으로 낮은 편이다.

두 번째로, 엑스트레이더의 악성 버전은 트레이딩 테크놀로지스 공식 다운로드 홈페이지에서 호스팅돼 트레이딩 테크놀로지스 홈페이지에 계정이 있는 사람은 누구나 액세스해 지난해에 관련 소프트웨어를 다운로드할 수 있었다. 맨디언트는 트레이딩 테크놀로지스 홈페이지가 이르면 2022년 초 맨디언트가 UNC4736으로 명명한 북한 공격 그룹에 의해 침해됐다고 추측했다.

또한, 맨디언트는 UNC4736가 미국 국토안보부 산하 사이버·인프라보안국(CISA)가 발표했던 것처럼 금전적 목적의 북한 ‘애플제우스(AppleJeus)’ 멀웨어 활동과 관련이 있다고 추정했다. 이는 사이트에 해당 손상된 엑스트레이더 소프트웨어가 배포되기 전인 2022년 2월의 침해 사실을 보고한 구글 위협분석그룹(Threat Analysis Group, 이하 ‘TAG’)의 조사 결과를 통해서도 입증됐다.

세 번째로, 맨디언트는 3CX의 소프트웨어 공급망 공격과 트레이딩 테크놀로지스의 소프트웨어 공급망 공격의 배후를 모두 북한 해킹그룹으로 추정되는 UNC4736로 지목했다.

네 번째로, 3CX 직원에 의해 엑스트레이더의 악성 버전이 다운로드된 후 설치 관리자가 setup.exe로 소프트웨어 설치를 실행하면서 3개의 파일이 자체에서 추출돼 최종으로 베일드시그널(VEILEDSIGNAL)이라는 백도어가 생성됐다. 해당 멀웨어는 공격자에게 3CX 직원의 컴퓨터에 대한 전체 관리 권한과 시스템 수준 권한을 부여하기 때문에 공격자가 3CX 직원의 컴퓨터를 손상시킬 수 있었다. 이를 통해 공격자는 직원의 자격증명을 갈취, 도용해 3CX의 시스템에 관리자로 액세스한 후, 최종적으로는 3CX의 윈도 및 맥(Mac) 빌드 서버에 침투했다. 따라서 공격자는 멀웨어 툴을 활용해 기업에서 사용하는 3CX의 완제품에 더 많은 악성코드를 심을 수 있었다.

[보안뉴스 / 4.21.] 북한 3CX 공급망 공격... SW 공급망 공격이 2차 공격으로 이어진 최초 공격

▲POOLRAT 백도어 CoinGoTrade 앱 및 JMT 거래 활동 링크[자료=맨디언트]

맨디언트가 추측하는 공격 흐름은 크게 여섯 가지로 요약할 수 있다. 먼저, 북한의 한 공격자가 이르면 2021년경 알 수 없는 수단을 통해 트레이딩 테크놀로지스 홈페이지를 침해했다. 그 이후 트레이딩 테크놀로지스가 제공하는 소프트웨어 엑스트레이더를 침해했다. 지난해에는 3CX 직원이 엑스트레이더의 악성 버전을 다운로드해 설치했다. 직원이 엑스트레이더의 악성 복사본을 설치한 결과, 북한 공격자는 3CX 개인용 컴퓨터와 궁극적으로 3CX 기업 네트워크 액세스 권한을 획득했다. 그 이후 북한 공격자가 이 멀웨어 액세스를 악용해 몇 주간 3CX를 사용한 조직에 추가로 액세스했다. 마지막으로, 보안 커뮤니티가 현재 추가 피해 조직 여부를 적극적으로 조사 중에 있다.

한편, 이번 ‘3CX Software Supply Chain Compromise Initiated by a Prior Software Supply Chain Compromise; Suspected North Korean Actor Responsible’ 제목의 보고서는 맨디언트 영문 블로그를 통해 확인할 수 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>