아수스(ASUS) 소프트웨어(SW) 업데이트 시스템이 해킹 당했다. 100만대가 넘는 아수스 윈도 사용 컴퓨터에 백도어가 뿌려졌다. PC 부품 공급망을 해킹, 완제품 구매자도 피해를 봤다.
26일 카스퍼스키랩과 외신에 따르면 100만대 이상 아수스 윈도 컴퓨터가 라이브 업데이트를 통해 백도어에 감염된 것으로 나타났다. 아수스는 세계 시장 점유율 5위의 PC 공급 기업이다.
한국 사용자의 피해 여부는 밝혀지지 않았다. 한국인터넷진흥원(KISA)은 침해사고대응팀(CERT)과 보안 기업 등을 통해 악성코드, 피해 유형 파악에 나설 계획이다.
이번 공격은 지난해 6월부터 11월 사이에 발생한 것으로 추정된다. 공격자는 아수스 SW 업데이트 시스템을 해킹했다. 공격자는 아수스 서버를 장악한 후 중요 SW 업데이트를 가장, 백도어 설치 악성코드를 내려 보냈다. 공격자는 아수스 인증서(코드사인)를 탈취, 가짜 업데이트를 내려 보냈다.
아수스 라이브 업데이트 유틸리티를 활성화한 사용자 모두 해당 공격을 받았다. 라이브 업데이트 유틸리티는 아수스 컴퓨터에 미리 설치돼 있다. 바이오스, 애플리케이션(앱), SW 드라이브, 펌웨어 등을 업데이트하는 데 사용한다.
공격자는 600여개 MAC 주소를 미리 보유한 뒤 공격 대상을 특정했다. MAC는 통신을 위해 랜카드에 부여된 일종의 주소다. 공격자는 아수스 업데이트 서버에 MAC 주소를 올려둔 뒤 특정한 MAC 주소가 발견되면 공격자가 운영하는 C&C 서버에서 추가 악성코드를 다운로드 한다. 2차 악성코드 종류 등은 밝혀지지 않았지만 PC 접근 권한을 얻으려 한 것으로 추정된다.
공격자는 1차 공격이 드러날 것을 우려해 백도어 관련 악성코드만 230여개를 유포했다. 개별 PC에서 1개 백도어를 찾는다 하더라도 수백여개 백도어가 유포돼 공격에서 벗어나기 어렵다. 공격 대상이 된 PC는 현재까지 600여대로 추정된다. 다만 공격자가 어떤 PC를 목표로 했으며, 어떤 공격이 추가됐는지는 알려지지 않았다.
공격받은 PC는 러시아(약 18%), 독일(16%), 프랑스(13%) 등 유럽에 집중됐다. 이 밖에도 미국, 스페인, 캐나다, 대만, 일본, 브라질 등은 2% 안팎의 피해로 나타났다. 한국은 별도로 분류되지 않았다.
카스퍼스키랩은 1월 31일 아수스에 해당 결과를 통보했지만 이에 대한 답변을 제시하지 않았으며, 고객에게도 알리지 않았다. 전문가는 이번 공급망 공격이 신뢰할 수 있는 SW 업데이트를 위장한 과거 스턱스넷, 낫페트야 등과 유사하지만 이보다 한 단계 진화했다고 설명했다.
코스틴 라이우 카스퍼스키랩 글로벌리서치분석팀장은 “과거와 달리 복잡성, 은밀성에서 한 단계 더 높은 공격 형태”라면서 “해당 악성코드가 뿌려졌다 하더라도 공격자 목표가 아니면 악성코드가 작동하지 않도록 설계 돼 오랫동안 감지되지 않았다”고 말했다.
국내에서는 아직 피해 현황이 접수되지 않았다. KISA 관계자는 “아수스가 해외 기업이어서 직접 소통이 어려워 보안 기업과 컴퓨터침해사고대응반(CERT) 중심으로 현황 파악에 나서고 있다”면서 “향후 사용자 악성코드, 피해 유형 파악 등에 나설 예정”이라고 밝혔다. 카스퍼스키랩은 현재 조사를 하고 있다. 사고 원인, 결과 등은 다음 달 싱가포르에서 열리는 'SAS 2019' 콘퍼런스에서 발표할 예정이다.
정영일기자 jung01@etnews.com