“금융 보안 배포 솔루션 ‘베라포트’ 악용한 공급망공격, 배후는 라자루스”

국내 금융권에서 주로 사용하는 보안 소프트웨어 통합 설치·배포 솔루션인 ‘베라포트(VeraPort)’ 공급망공격 배후가 지목됐다.

위즈베라의 베라포트는 국내 인터넷뱅킹 등 전자금융서비스 이용시 사용해야 하는 보안 솔루션 통합 설치를 유도하는 솔루션으로, 많은 금융기관들이 사용하고 있다.

글로벌 보안기업인 이셋(ESET)은 16일 최근 한국에서 공급망공격을 통해 라자루스 악성코드를 배포하려는 시도를 발견했다고 공개했다.

이셋 연구원들은 이번 공격이 북한과 연계된 것으로 알려진 국제 해킹그룹인 라자루스(Lazarus) 소행이라고 지목했다.

이 사건은 지난해 하반기와 올해 잇달아 발생한 공급망공격으로, 지금까지 정부·금융당국과 수사기관은 공식 공격경로와 배후를 지목하지는 않았다.

공급망공격은 정상 소프트웨어의 취약점을 이용해 악성코드를 삽입하거나 해당 소프트웨어의 정책 서버 등을 해킹해 악성코드를 유포하는 방식을 악용한 공격을 말한다. 사용자들이 많이 쓰는 소프트웨어와 보안 솔루션의 취약점이나 코드서명 인증서를 악용한 원격제어 악성코드 유포 사례가 여러 차례 발생한 바 있다.

이셋에 따르면, 악성코드를 배포하기 위해 공격자들은 서로 다른 두 기업에서 훔친 보안 소프트웨어와 인증서를 악용해 악성코드를 배포하는 공급망공격을 수행했다. 또한 공격자는 악성코드 샘플에 서명하기 위해 불법적으로 얻은 코드서명(CodeSign) 인증서를 사용했다. 이러한 인증서 중 하나는 국내 보안기업의 미국 지사에서 발급됐다.

이번 공격을 분석한 이셋 연구원(Anton Cherepanov, Peter Kálnai)들은 이같이 분석하면서 “공격자들은 라자루스 악성코드 샘플을 합법적인 소프트웨어로 위장했다. 이 샘플에는 합법적 한국 소프트웨어와 유사한 파일명, 아이콘 및 자원이 있다”며 “이는 공격자가 이 공격을 수행할 수 있도록 허용하는 위즈베라 베라포트 지원, 특정 베라포트 구성 옵션과 손상된 웹 사이트의 조합”이라고 말했다.

이들은 이번 공격이 올해 발생한 라자루스의 ‘오퍼레이션 북코드(Operation BookCodes)’ 공격의 연장선으로, 라자루스가 이전에 사용해온 공격 특징과 유사성이 있다고 분석했다. 침입이나 암호화 방법이 비정상적으로 사용자 정의돼 있거나 네트워크 인프라의 설정 방법을 비롯해 라자루스의 전형적인 툴셋 특성이 보인다는 설명이다.

라자루스는 워너크라이 랜섬웨어 공격, 소니픽처스 공격, 3.20 사이버테러 등 전세계를 뒤흔든 대규모 공격을 벌인 것으로 분석돼 왔다. 이셋을 비롯해 보안 전문기업들은 라자루스가 많은 하위그룹을 거느린 대규모 공격조직으로 보고 있다.

이셋은 국내 인터넷 사용자들은 정부기관이나 인터넷뱅킹 웹 사이트를 방문할 때 보안 소프트웨어를 추가로 설치해야 하는 경우가 많기 때문에 공격이 더 쉬웠을 것이라고 지적했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network