국내 금융권과 공공기관에서 다수 사용하는 통합보안모듈 개발사와 디지털저작권관리(DRM) 기업이 연이어 사이버 공격에 노출됐다. 기업과 기관은 물론 일반인까지 여파를 미치는 '공급망 공격'이다. 공급망 공격이란 정상 소프트웨어를 개발·배포하는 과정에서 취약한 업데이트 서버, 개발자 PC 등에 침투해 정상 SW를 해킹 통로로 악용하는 방법이다. 대규모 사이버 위협이 공급망 공격에서 시작된 사례가 많아 관심이 집중된다.
최근 통합보안모듈 소프트웨어(SW) 개발 기업인 A사가 해커 공격을 받은 것으로 드러났다. 국가정보원과 한국인터넷진흥원(KISA)이 현장조사를 진행했다. A사 내부 업무 관리 시스템에서 일부 정보가 유출된 것으로 나타났다. A사는 다행히 디지털 서명(코드사인)은 유출되지 않았다고 밝혔다.
통합보안모듈은 공공기관, 금융권 사이트 접속 시 보안 등 관련 소프트웨어를 한 번에 설치하도록 돕는 프로그램이다. 해커가 해당 모듈을 탈취하면 국민 대부분이 사용하는 PC에 악성코드를 설치할 수 있다.
DRM 전문기업 B사 디지털 서명이 들어있는 악성코드도 발견됐다. SW 개발사는 자사가 개발한 신뢰할 수 있는 프로그램에 디지털 서명을 한다. 디지털 서명된 SW는 위·변조되지 않은 무결성을 보장한다는 의미다. 공격자는 이런 점을 노려 정상 SW기업 디지털 서명을 탈취해 공격에 악용한다.
KISA 관계자는 “사건인지 후 해당 보안기업과 조사를 실시해 문제가 된 인증서를 즉시 폐기했다”면서 “현재 내부 해킹 사실, 인증서 관리 소홀 여부, 유출 경로 등을 추적 중”이라고 말했다.
공급망 공격은 대상을 가리지 않는다. IT서비스 운영 기업을 공격해 원하는 정보를 얻거나 솔루션 개발사, 구매 파트너 등을 거치기도 한다. 올해 3월 카스퍼스키랩은 100만대가 넘는 에이수스 PC에 백도어가 설치된 사실을 찾아냈다. 공격자는 에이수스 SW 업데이트 시스템을 해킹, 백도어 설치 악성코드를 뿌렸다. 당시 공격에도 에이수스의 유효한 인증서를 활용해 탐지를 피했다.
국내에서는 2016년 C사가 해킹돼 디지털 서명이 유출됐다. 공격자는 이를 활용해 10개 기관 19대 PC에 악성프로그램을 유포했다. 이후에도 크고 작은 공격이 지속됐다.
전문가는 최근 공급망 공격 사고가 단일 사건을 넘어 지속 발생하는 데 주목한다. 중국, 북한 등 해킹세력이 공급망 공격 배후로 지목된다.
문종현 이스트시큐리티 시큐리티대응센터장(ESRC)은 “악성파일에 유효한 코드서명이 포함되면 공급망, 워터링 홀 공격 같은 파급력이 큰 지능형지속위협(APT)에 악용될 수 있다”면서 “악성파일 인증서 탑재 시점이 얼마 되지 않았다는 점을 미루어볼 때 다양한 공격을 준비했을 것으로 추정되며 후속공격 대비 필요하다”고 설명했다.
과학기술정보통신부 관계자는 “현재 공급망 공격과 관련해 KISA가 현장조사를 실시하고 있으며, 공급망 위협에 대해 정부 차원에서 대응책을 강구 중”이라고 말했다.
정영일기자 jung01@etnews.com