카스퍼스키랩은 최근 세계 수백개 대기업이 사용하는 서버관리 소프트웨어(SW) 제품에 '섀도패드'라는 백도어가 설치돼 있음을 발견했다고 24일 밝혔다.
지난달 카스퍼스키랩 파트너 금융사 한 곳이 글로벌위협정보분석팀(GReAT)을 찾아 왔다. 금융거래 처리와 연관된 시스템에서 의심스러운 도메인네임서버(DNS) 요청을 보내고 있다고 제보했다. 조사 결과 DNS요청 근원지는 정상적인 공급업체 '넷사랑(NetSarang)'의 서버관리SW였다. 금융서비스, 교육, 통신, 제조, 에너지, 교통 등 여러 업계 고객이 해당 업체 SW를 사용하고 있었다. 그런데 DNS요청은 해당 SW공급업체가 설계한 게 아니었다.
심층조사 결과 해당SW 최신버전 내부에 악성모듈이 숨어있었고 그 모듈이 의심스러운 요청을 보낸 걸로 드러났다. 감염된 SW업데이트가 설치된 후 악성모듈이 명령제어서버인 특정 도메인으로 8시간마다 DNS요청을 보냈다. 요청에는 감염시스템의 사용자명, 도메인명, 호스트명 등 기본정보가 있었다. 해커가 해당 시스템에 관심을 가질 경우 명령제어서버가 요청에 응답하고, 백도어플랫폼을 활성화하면, 피해 컴퓨터에 백도어가 배포된다.
카스퍼스키랩은 이 섀도패드라는 백도어가 공격자로하여금 추가로 악성모듈을 다운로드하거나 데이터를 훔치게 하는 발판으로 사용될 수 있다고 지적했다. 카스퍼스키랩은 넷사랑 측에 이 백도어에 대해 통보했다. 넷사랑은 악성코드를 제거한 후 고객에게 SW 업데이트를 배포했다. 카스퍼스키랩은 최대규모 공급망 공격중 하나로 알려진 섀도패드를 빠르게 탐지해 조치한 덕분에 세계 수많은 조직이 공격표적이 되는 사고를 방지했다고 강조했다.
관련기사
- 카스퍼스키랩, MS 반독점 제소 철회2017.08.24
- 카스퍼스키랩, 무료백신시장 등판…속내는2017.08.24
- 국내 최초 ATM 악성코드, 북한 배후 조직 소행이었나2017.08.24
- "페트야, 랜섬웨어 아니라 사이버무기"2017.08.24
카스퍼스키랩 연구진은 섀도패드 악성모듈이 지금껏 홍콩에서 활성화됐지만, 다른 지역 여러 시스템에도 휴면 상태로 숨어있을 수 있다고 지적했다. 사용자가 감염SW를 업데이트하지 않았다면 그럴 가능성이 높다고 덧붙였다. 연구진은 "해커의 도구, 기술, 공격절차를 분석하면서 발견된 유사성에 따르면 중국어 기반 사이버스파이 조직으로 알려진 'Winnti APT'가 사용하는 PlugX 악성코드 변종일 가능성이 있지만, 확실하게 연결짓기엔 아직 근거가 불충분하다"고 설명했다.
카스퍼스키랩 GReAT 박성수 책임연구원은 "섀도패드를 통해 악성코드를 널리 유포할 수 있고 데이터를 수집할 기회가 주어진다는 사실을 고려하면 대중적인 다른 SW구성요소에 다시 스며들 것이 분명하다"며 "넷사랑은 다행이 우리 경고에 신속 대응해 안전한 SW업데이트를 내놓았고 수많은 고객사 데이터 도난을 막아냈지만, 이번 사건은 네트워크활동을 모니터링하고 이상징후를 감지할 우수 솔루션이 대기업에 절실하다는 점을 보여 준다"고 말했다.
