“北 추정 ‘3CX’ 해킹, 이미 다른 SW에 침투된 멀웨어에서 시작”

북한 해킹 조직에 의한 것으로 추정되는 지난달 기업용 음성 및 비디오 통화 프로그램 ‘3CX’ 해킹은 이미 다른 소프트웨어에 침투된 악성 소프트웨어(멀웨어)에서 시작한 것으로 보인다고 글로벌 사이버 보안 기업 맨디언트가 현지시간으로 20일 밝혔습니다.

맨디언트는 이날 3CX 해킹에 대한 조사 결과를 발표하고, 소프트웨어 공급망 해킹이 또 다른 소프트웨어 공급망 해킹으로 이어지는 것을 처음 확인했다고 강조했습니다.

맨디언트 등 보안업체들은 앞서 북한 해킹 조직으로 추정되는 ‘UNC4736’이 지난달 ‘3CX’를 해킹해 대규모 피해가 우려된다고 밝히기도 했습니다. 3CX는 기업용 음성 및 비디오 통화 프로그램으로, 1일 사용자는 1천200만명을 웃돌고 있습니다.

미국 국토안보부 산하 사이버인프라보안국(CISA)에 따르면 ‘UNC4736’는 금전 탈취 목적의 북한 ‘애플제우스’라는 멀웨어와 관련된 것으로 추정됩니다.

이 멀웨어는 가짜 가상화폐 앱으로, 가상화폐를 훔치는 데 이용되는 것으로 알려져 있습니다.

맨디언트는 ‘3CX’의 초기 침입 벡터(해커가 네트워크에 접근하기 위한 경로나 방법)가 소프트웨어 업체 ‘트레이딩 테크놀로지스’에서 제공하는 패키지(엑스트레이더)에 멀웨어가 추가된 버전이라는 사실을 확인했다고 설명했습니다.

엑스트레이더의 악성 버전을 내려받아 실행하면 ‘베일드시그널’이라는 백도어(몰래 설치된 통신 연결 기능)가 생성돼 해킹이 용이해진다는 것입니다.

맨디언트는 2022년 4월 3CX가 ‘트레이딩 테크놀로지스’ 웹사이트에서 악성 프로그램 설치 소프트웨어를 내려받았고, 이 웹사이트는 당시 이미 북한 조직에 의해 해킹당한 것으로 보인다고 추정했습니다.

맨디언트는 또 페이로드(전송 데이터)의 기술 지표를 근거로 트레이딩 테크놀로지스와 3CX 소프트웨어 공급망 해킹이 모두 동일한 북한의 UNC4736 소행으로 보인다고 밝혔습니다.

맨디언트는 다만, 트레이딩 테크놀로지스의 초기 침입 벡터는 확인할 수 없었다며, 트레이딩 테크놀로지스와 계속 협력해 나가고 있다고 덧붙였습니다.

[사진 출처 : 연합뉴스 / 3CX 홈페이지 캡처]

박상용 기자 (miso@kbs.co.kr)