카스퍼스키랩은 최근 전 세계 수백 개의 대기업이 사용하는 서버 관리 소프트웨어 제품에 백도어가 설치된 것을 발견했다고 밝혔다.이 백도어는 공격자가 추가로 악성 모듈을 다운로드하거나 데이터를 훔치는데 사용된다. 

카스퍼스키랩은 피해 소프트웨어 공급업체 넷사랑(NetSarang)에 백도어에 대해 통보했다. 넷사랑측은 악성 코드를 제거한 후 고객에게 업데이트를 배포했다.

카스퍼스키랩의 조사 결과 해당 소프트웨어의 최신 버전 내부에 악성 모듈이 숨겨져 있었고, 이 악성 모듈이 의심스러운 요청을 발송한 것으로 드러났다.

감염된 소프트웨어의 업데이트가 설치된 후 악성 모듈이 C&C 서버인 특정 도메인으로 8시간에 한 번씩 DNS 쿼리를 보내기 시작한다. 이 요청에는 감염된 시스템의 기본 정보(사용자 이름, 도메인 이름, 호스트 이름)가 담겨 있다. 해커가 해당 시스템에 ‘관심을 가질’ 경우 커맨드 서버가 요청에 응답하고 준비를 모두 마친 백도어 플랫폼을 활성화시키면, 백도어가 자체적으로 피해자의 컴퓨터 내부에 몰래 배포된다. 그리고는 해커의 지시에 따라 백도어 플랫폼이 악성 코드를 추가로 다운로드하고 실행할 수 있는 것이다.

카스퍼스키랩 연구진은 이 악성 모듈이 지금껏 홍콩에서 활성화되었지만 다른 지역의 여러 시스템에도 휴면 상태로 숨어 있을 수 있으며, 사용자가 감염된 소프트웨어를 업데이트하지 않았다면 그 가능성이 크다고 결론지었다.

카스퍼스키랩 글로벌 분석연구팀 박성수 책임연구원은은 “섀도우패드는 공급망 공격이 성공을 거둘 때 얼마나 위험하고 광범위할 수 있는지 잘 보여준다"라며"네트워크 활동을 모니터링하고 이상 징후를 감지할 수 있는 우수한 솔루션이 대기업에게 절실하다"고 말했다.

이어 "그러한 솔루션을 활용한다면, 해킹 조직이 합법적 소프트웨어에 악성 코드를 아무리 복잡하게 숨겨놓아도 의심스러운 활동을 손쉽게 포착할 수 있을 것"이라고 설명했다.

베타뉴스 이직 기자 (leejik@betanews.net)
Copyrights ⓒ BetaNews.net

• • 목록
  • 위로