국내 주식 투자 SW 기업, 공급망 공격 당했다

KISA 대응 진행.."현장조사 등 여부는 논의중"

[아이뉴스24 최은정 기자] 국내 사설 주식 투자 메신저 소프트웨어를 악용한 공급망 공격이 발견됐다.

4일 보안업계에 따르면 직장인 등 일반 사용자를 대상으로 한 주식 투자 메신저 기업이 해커의 공급망 공격에 당한 것으로 알려졌다. 현재 한국인터넷진흥원(KISA)이 악성코드 샘플을 공유받고 명령제어(C&C) 서버 차단 등 대응에 나선 상태다.

KISA 관계자는 "해당 기업은 현장조사 여부와 관련 일정에 대해 KISA와 협의 중"이라며 "기술 지원, 사고 신고 절차 등도 함께 안내하고 있다"고 말했다.

[이미지=픽사베이]

만약 사용자가 이 메신저 프로그램을 설치하거나 업데이트 버전을 다운로드 받았을 경우, PC 등 기기가 악성코드에 감염될 수 있다.

한 보안업계 관계자는 "해당 프로그램을 설치하지 않고 실행만 하는 경우에도 'XSL 스크립트 프로세싱' 기법을 통해 해커가 만들어 놓은 FTP 서버로 접속하게 된다"며 "지난해 말부터 이러한 공격 기법이 나오고 있으며 백신에서는 탐지하기 힘든 공격 유형"이라고 강조했다.

공급망 공격은 제품·서비스가 공급되는 과정에서 발생하는 사이버 공격을 말한다. 최근 해외에서 일어난 대규모 공급망 공격으로는 인프라 SW 기업 '솔라윈즈'을 겨냥한 사건이 꼽힌다. 해당 기업의 제품의 사용 고객이 미국 국방부, 국무부 등을 포함한 주요 기관이 포함돼 있어 이슈가 된 바 있다.

이번 공급망 공격은 일반 사용자들을 겨냥했다는 점에서 양상이 다르지만 추후 해커가 공격을 추가로 진행할 수 있다는 점에서 사용자 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(ESRC) 측은 공격 배후에 북한 해커 조직으로 추정되는 '탈륨'이 있을 것으로 보고 있다.

회사 관계자는 "탈륨 조직이 XSL 스크립트 프로세싱 기법으로 악성 문서 기반의 스피어 피싱 공격뿐 아니라 공급망 공격까지 활용하고 있다"고 말했다.

이어 "더불어 주식투자 이용자를 겨냥한 공급망 공격 목적이 금전적인 수익까지 노린 것은 아닌지 여부도 면밀히 살펴보고 있다"고 덧붙였다.

최은정기자 ejc@inews24.com

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]