"클릭 안 해도 털린다"…北 해커, 전 세계 개발자 쓰는 코드 뚫었다

[서울=뉴시스]윤정민 기자 = 북한 연계 해커가 전 세계 개발자들이 사용하는 소프트웨어 부품 '오픈소스 라이브러리'를 해킹해 악성코드를 유포한 정황이 확인됐다. 사용자가 수상한 링크를 클릭하지 않아도 평소 쓰던 앱이나 서비스를 업데이트하는 과정에서 자동으로 감염될 수 있다. 이에 보안 전문가들은 개발 생태계 전반에 각별한 주의를 당부했다.

31일(현지 시간) 구글 위협 인텔리전스 그룹(GTIG), 스텝시큐리티 등에 따르면 북한 연계 해커 조직 'UNC1069'는 최근 자바스크립트 HTTP 라이브러리 '악시오스(Axios)' 관리자 계정을 탈취해 악성코드를 유포했다.

악시오스는 웹과 모바일 서비스가 서버와 데이터를 주고받을 때 사용하는 대표적인 오픈소스 라이브러리다. 주당 1억건 이상 다운로드될 정도로 많은 개발자가 로그인, 결제, 콘텐츠 로딩 등 대부분 기능에 악시오스를 활용하고 있다.

해커는 정상적인 업데이트 파일 속에 '실크벨(SILKBELL)'이라는 악성 스크립트를 넣었다. 개발자가 이 라이브러리를 사용하면 앱 설치 과정에서 별도의 사용자 행동 없이 악성코드가 자동 실행된다.

이 악성코드는 운영체제에 따라 서로 다른 형태로 작동하는 백도어 '웨이브셰이퍼'를 내려보낸다. 시스템 정보를 수집하고 60초 간격으로 외부 서버와 통신하며 추가 명령을 받아 실행한다.

특히 이 악성코드는 실행 이후 스스로 삭제하고 변조된 설정 파일을 정상 상태로 되돌려 흔적을 최소화하는 방식으로 보안 탐지를 피했다.

이번 악성 버전은 약 3시간가량만 노출된 뒤 삭제됐다. 하지만 해당 라이브러리 사용자가 많아 실제 실행이 확인될 만큼 파급력이 컸다. 악시오스는 자동화된 개발 환경에서 즉시 설치되는 경우가 많아 짧은 노출만으로도 자동화된 개발 환경을 통해 대규모로 확산될 수 있다는 분석이다.

GTIG 등은 이번 공격을 벌인 조직이 과거 사용해 온 악성코드와 인프라를 근거로 북한 연계 조직인 'UNC1069'를 지목했다.

또 이번 공격 목적은 시스템 내 인증정보와 자산 탈취라고 분석했다. 악성코드는 감염된 컴퓨터의 사용자 계정, 시스템 정보, 실행 중인 프로세스 등을 수집하며 클라우드 서비스 접속에 사용되는 API 키나 토큰도 탈취 대상이 될 수 있다.

GTIG는 이번 공격으로 탈취된 인증 정보가 향후 대규모 가상자산 탈취나 기업 대상 랜섬웨어 공격으로 이어질 수 있다고 경고했다.

실제로 최근 'TeamPCP(UNC6780)'로 불리는 또 다른 해커 조직은 'LiteLLM' 등 인기 오픈소스 프로젝트를 해킹해 인증정보 탈취 악성코드를 유포한 바 있다. 이들은 이를 통해 수십만개의 비밀 정보를 훔쳐 아마존웹서비스(AWS) 등 주요 클라우드 환경에 침투하고 기업을 대상으로 금전을 요구하는 공격을 이어가고 있는 것으로 파악됐다.

이에 GTIG는 개발자들에게 사용 중인 악시오스 버전을 즉시 점검하라고 당부했다. 문제가 된 버전(1.14.1 또는 0.30.4)을 사용했다면 즉시 삭제해야 하며 해당 환경에서 사용된 모든 로그인 토큰과 API 키는 유출된 것으로 간주하고 재발급하는 등 후속 조치를 취해야 한다고 강조했다.

GTIG 관계자는 "이번 공급망 공격은 하드웨어, 소프트웨어 업데이트에 대해 가지는 원천적인 신뢰를 악용한 위험한 공격 방식"이라며 "피해 기업들은 즉각적인 영향 평가와 시스템 복구를 시작하고 보안 체계를 강화해야 한다"고 밝혔다.


◎공감언론 뉴시스 [email protected]