카스퍼스키, 라자루스 그룹의 한국 공급망 대상 사이버 공격 포착

초기 침해(Initial Compromise) 단계의 공격 흐름./카스퍼스키 제공

카스퍼스키가 라자루스 해킹 그룹이 한국 내 다양한 조직을 겨냥해 고도화된 사이버 공격을 감행한 사실을 확인했다고 24일 밝혔다.

이번 공격은 이노릭스 에이전트(Innorix Agent)에서 발견된 제로데이(Zero-day) 취약점을 활용해 소프트웨어, IT, 금융, 반도체, 통신 등 최소 6개 한국 조직을 대상으로 수행됐다. 카스퍼스키는 해당 공격을 ‘오퍼레이션 싱크홀(Operation SyncHole)’로 명명하고, 이 취약점이 즉시 패치됐다고 밝혔다.

공격자는 브라우저 통합형 서드파티 보안 파일 전송 도구인 이노릭스 에이전트의 취약점을 악용해 측면 이동과 악성코드 설치를 진행했다. 최종적으로 라자루스의 대표 악성코드인 ThreatNeedle과 LPEClient를 배포해 내부 네트워크를 장악한 것으로 분석됐다.

카스퍼스키 글로벌 리서치 및 분석팀(GReAT)은 이 과정에서 악성코드 행위 분석을 통해 또 다른 임의 파일 다운로드 제로데이 취약점을 선제적으로 발견했고, 해당 취약점은 한국인터넷진흥원(KrCERT)과 공급사에 신고 후 패치됐다.

공격에 사용된 또 다른 경로로는 한국산 브라우저 보안 도구인 CrossEX가 언급됐으며, 이 도구의 하위 프로세스인 SyncHost.exe를 통해 변종 백도어 악성코드가 실행된 정황이 확인됐다. CrossEX는 최근 공식적으로 보안 취약점이 존재함이 인정돼 업데이트가 이뤄진 바 있다.

이고르 쿠즈네초프 카스퍼스키 GReAT 디렉터는 “지역 특화 소프트웨어나 구형 시스템에서 사용하는 브라우저 플러그인이나 보조 도구는 공격 표면을 넓히는 주요 원인”이라며 “높은 권한으로 실행되는 이러한 도구는 최신 브라우저보다 더 쉽게 공격자들의 표적이 된다”고 말했다.

- Copyright ⓒ 조선비즈 & Chosun.com -