구글 “북한 연계 해커, 사용자 계정 탈취 시도”

북한 해커 조직이 오픈 소스 라이브러리 ‘악시오스’를 해킹했다고 구글이 밝혔다. AP/뉴시스

북한 연계 해킹 조직이 전 세계 개발자가 사용하는 오픈소스 소프트웨어를 해킹해 악성 코드를 유포한 사실이 확인됐다. 정상 업데이트를 통해 감염이 확산되는 ‘공급망 공격’ 방식이어서 이용자가 인지하지 못한 채 피해를 입을 가능성이 제기된다.

1일(현지 시간) 구글에 따르면 북한 연계 해킹 그룹 ‘UNC1069’는 최근 오픈 소스 소프트웨어 ‘악시오스(Axios)’의 업데이트 파일에 악성 코드를 삽입해 유포했다.

악시오스는 웹 브라우저나 애플리케이션(앱)이 서버와 데이터를 주고받을 때 통로 역할을 하는 핵심 라이브러리로, 매주 수천만 건 이상의 다운로드가 이뤄지는 소프트웨어다.

이번 공격은 개발자 계정을 탈취한 뒤 공식 업데이트 경로를 통해 악성 코드를 유포하는 방식으로 이뤄졌다. 보안업체 스텝시큐리티에 따르면 해커들은 지난달 31일 주요 관리자 계정을 장악한 뒤 정식 패키지에 악성 코드를 삽입했다.

● 정상 업데이트인데 감염…왜 더 위험한가

문제는 사용자가 정상 업데이트로 인식하고 설치했다는 점이다. 이번 공격은 소프트웨어 자체를 오염시켜 이를 사용하는 모든 시스템으로 확산되는 ‘공급망 공격’ 형태로, 일반적인 피싱이나 악성 링크보다 탐지와 차단이 훨씬 어렵다.

삽입된 악성 코드는 백도어 프로그램 ‘WAVESHAPER.V2’로, 사용자 컴퓨터 권한을 장악해 로그인 정보와 금융 데이터를 탈취할 수 있도록 설계됐다.

해당 코드는 발견된 직후 제거됐지만, 오염된 버전이 배포된 기간 동안의 정확한 피해 규모는 아직 확인되지 않았다.

● 북한 해킹 조직 수법…암호화폐·금융 노린다

이해를 돕기 위한 사진. 뉴시스

구글은 이번 해킹의 배후로 2018년부터 활동해 온 북한 연계 조직 ‘UNC1069’를 지목했다. 이들은 주로 암호화폐와 금융 분야를 공격해 무기 제작 자금을 조달해 온 것으로 알려졌다. 구글은 올해 2월에도 해당 그룹의 위험성을 경고하는 보고서를 발표한 바 있다.

실제로 이번에 사용된 ‘공급망 공격’은 북한 연계 해커들이 선호하는 수법이다. 소프트웨어 자체를 오염시켜 이를 내려받는 사용자까지 연쇄적으로 노리는 방식이다.

존 헐트퀴스트 구글 위협인텔리전스 수석 분석가는 “북한 해커들은 소프트웨어 공급망을 공격해 암호화폐를 탈취하는 데 상당한 경험을 보유하고 있다”고 설명했다.

● 오픈 소스 소프트웨어 ‘악시오스’ 노려…“나도 모르는 새 감염”

보안업계는 이번 공격이 운영체제 전반을 겨냥했다는 점에도 주목하고 있다. 사이버 보안 전문기업 일래스틱 시큐리티는 분석 보고서를 통해 “해커들이 윈도(Windows), 맥(macOS), 리눅스(Linux) 등 운영체제별로 악성 소프트웨어를 제작했다”며 “수백만 개 시스템에 침투할 수 있는 전방위 전달 경로를 확보한 것”이라고 분석했다.

특히 소스 코드가 공개돼 있고 누구나 수정할 수 있는 오픈 소스 소프트웨어의 특성을 이용했다는 점에서 우려의 목소리가 높다.

톰 헤겔 센티넬원 선임연구원은 “웹사이트 접속이나 은행 잔고 확인 등 일상적인 작업만으로도 해킹에 노출될 수 있다”며 “사용자가 링크를 잘못 클릭하는 등 실수하지 않아도 자신도 모르는 사이 감염될 수 있다는 점이 이번 공격의 핵심”이라고 지적했다.

김영호 기자 rladudgh2349@donga.com