"北 추정 ‘3CX’ 해킹, 다른 SW에 침투된 멀웨어에서 시작"

북한 해킹 조직의 소행으로 추정되는 기업용 음성 및 비디오 통화 프로그램 ‘3CX’ 해킹은 이미 다른 소프트웨어에 침투된 악성 소프트웨어(멀웨어)에서 시작한 것으로 보인다고 글로벌 사이버 보안 기업 맨디언트가 현지시간으로 20일 밝혔다.

맨디언트는 이날 3CX 해킹에 대한 조사 결과를 발표하고, 소프트웨어 공급망 해킹이 또 다른 소프트웨어 공급망 해킹으로 이어지는 것을 처음 확인했다고 밝혔다.

맨디언트 등 보안업체들은 앞서 북한 해킹 조직으로 추정되는 ‘UNC4736’이 지난달 ‘3CX’를 해킹해 대규모 피해가 우려된다고 밝히기도 했다. 3CX는 기업용 음성 및 비디오 통화 프로그램이다. 1일 기준 사용자는 1200만명이 넘는다.

미국 국토안보부 산하 사이버인프라보안국(CISA)에 따르면 ‘UNC4736’는 금전 탈취 목적의 북한 ‘애플제우스’라는 멀웨어와 관련된 것으로 추정된다. 이 멀웨어는 가짜 가상화폐 앱으로, 가상화폐를 훔치는 데 이용되는 것으로 알려졌다.

맨디언트는 ‘3CX’의 초기 침입 벡터(해커가 네트워크에 접근하기 위한 경로나 방법)가 소프트웨어 업체 ‘트레이딩 테크놀로지스’에서 제공하는 패키지(엑스트레이더)에 멀웨어가 추가된 버전이라는 사실을 확인했다고 했다.

맨디언트는 2022년 4월 3CX가 ‘트레이딩 테크놀로지스’ 웹사이트에서 악성 프로그램 설치 소프트웨어를 내려받았고, 이 웹사이트는 당시 이미 북한 조직에 의해 해킹당한 것으로 보인다고 추정했다.

맨디언트는 또 페이로드(전송 데이터)의 기술 지표를 근거로 트레이딩 테크놀로지스와 3CX 소프트웨어 공급망 해킹이 모두 동일한 북한의 UNC4736 소행으로 보인다고 밝혔다.

김민영 기자 argus@asiae.co.kr