맨디언트 “北 해커 추정 ‘3CX’ 해킹, 다른 SW에 침투한 ‘멀웨어’서 시작

지난달 발생한 기업용 음성 및 비디오 통화 프로그램 ‘3CX’ 해킹은 북한 해커의 소행으로 추정되며 이미 다른 소프트웨어에 침투된 악성 소프트웨어(멀웨어)에서 시작한 것으로 보인다고 사이버보안 기업 맨디언트가 20일(현지시간) 밝혔다.

맨디언트는 이날 그간 북한 연계 해커가 지난달 ‘3CX’ 공급망을 공격한 정황을 확인하고 조사한 내용을 발표했다. 3CX는 기업용 음성 및 화상 통화 프로그램으로, 1일 사용자가 1200만명 이상이다.

미국 국토안보부 산하 사이버인프라보안국(CISA)에 따르면 ‘UNC4736′는 금전 탈취 목적의 북한 ‘애플제우스’라는 멀웨어와 관련된 것으로 추정된다. 이 멀웨어는 가짜 가상자산 앱으로, 가상화폐를 훔치는 데 이용되는 것으로 알려져 있다.

맨디언트는 ‘3CX’의 초기 침입 벡터(해커가 네트워크에 접근하기 위한 경로나 방법)가 소프트웨어 업체 ‘트레이딩 테크놀로지스’에서 제공하는 패키지(엑스트레이더)에 멀웨어가 추가된 버전이라는 사실을 확인했다고 했다.

엑스트레이더의 악성 버전을 내려받아 실행하면 ‘베일드시그널’이라는 백도어(몰래 설치된 통신 연결 기능)가 생성돼 해킹이 용이해진다는 것이 맨디언트 측 설명이다.

맨디언트는 2022년 4월 3CX가 ‘트레이딩 테크놀로지스’ 웹사이트에서 악성 프로그램 설치 소프트웨어를 내려받았고, 이 웹사이트는 당시 이미 북한 조직에 의해 해킹당한 것으로 보인다고 추정했다.

맨디언트는 또 페이로드(전송 데이터)의 기술 지표를 근거로 트레이딩 테크놀로지스와 3CX 소프트웨어 공급망 해킹이 모두 동일한 북한의 UNC4736 소행으로 보인다고 밝혔다.

맨디언트는 다만, 트레이딩 테크놀로지스의 초기 침입 벡터는 확인할 수 없었다며, 트레이딩 테크놀로지스와 계속 협력해 나가고 있다고 했다.

조선비즈