우크라이나 정부를 노린 공급망 공격이 발견됐다.
구글클라우드가 인수한 사이버보안 전문업체 맨디언트는 최근 우크라이나를 집중 겨냥한 공급망 공격을 발견했다고 밝혔다.
맨디언트가 이와 관련해 펴낸 보고서에 따르면, 해당 공격은 트로이목마를 윈도10 운영체제 설치 프로그램에 심어 토렌트 파일 공유 사이트에 배포한 것으로 밝혀졌다. 손상된 소프트웨어를 설치하면 악성코드가 손상된 시스템에 대한 정보를 수집하고 유출한다.
트로이목마가 포함된 윈도10 설치 프로그램은 우크라이나 언어팩을 사용한 것으로 확인돼, 우크라이나 사용자를 대상으로 설계된 것으로 분석됐다. 맨디언트는 공격자들의 최종 타깃 대상은 우크라이나 정부였다고 밝혔다.
맨디언트는 러시아 사이버 스파이로 의심되는 UNC4166을 공격자로 추정했다. 맨디언트는 "UNC4166을 공격자로 단정짓기에 충분한 증거를 가지고 있진 않지만, 러시아-우크라이나 전쟁 초기 러시아 총정찰국(GRU)과 관련된 조직의 와이퍼 악성코드 공격 표적이 됐던 피해 조직을 노렸다는 점에서 UNC1466과 유사하다"라고 설명했다.
트로이목마가 포함된 ISO 파일은 윈도 컴퓨터가 마이크로소프트에 보내는 보안 원격 측정 기능을 비활성화시키고, 자동 업데이트 및 라이선스 확인을 차단하도록 구성됐다. 또한 공격자는 악성코드가 담긴 설치 프로그램을 배포한 다음, 피해자가 누구냐에 따라 추가 페이로드 배포 여부를 판단한 것으로 분석됐다.
맨디언트는 이번 공격은 금전적 이익을 노렸다고 볼 수는 없다고 밝혔다.
소프트웨어 공급망 공격은 솔라윈즈 사건처럼 특정한 소프트웨어를 쓰는 대상에 직접적으로 영향을 끼칠 수 있어 특정 지역의 타깃을 대상으로 광범위한 피해를 입힐 수 있다. 2020년 말 맨디언트가 처음 발견한 솔라윈즈 사건은 미국연방정부 전역의 컴퓨터를 손상시킨 공급망 공격이었다. 당시 해커는 솔라윈즈의 IT 모니터링 솔루션 '오리온' 업데이트 버전에 악성코드를 심어, 오리온을 사용했던 미국 주요 안보기관 및 공공기관을 포함해 마이크로소프트, 파이어아이 등의 기업까지 악성코드에 감염됐다.
관련기사
- "북한 사이버 스파이, 외교·군사·금융·제약 노린다"2022.12.13
- 솔라윈즈, 아태지역 주도권 강화 위해 임원진 보강2022.11.30
- 구글, 공급망 공격 방지 솔루션 공개2022.10.12
- 구글클라우드, 54억달러 규모 맨디언트 인수 완료2022.09.13
구글클라우드는 "소프트웨어 공급망은 이제 피해자 시스템에 가장 널리 퍼지는 초기 감염 매체 중 두 번째 순위로 자리 잡았다"고 말했다.
맨디언트 위협 인텔리전스 총괄 존 헐트퀴스트는 우크라이나를 대상으로 한 이번 공급망 공격에 대해 "기술적 측면에서는 솔라윈즈 공급망 공격만큼 정교하지는 않지만, 목표 대상까지 도달할 수 있도록 많은 잠재적 표적을 손상시킬 목적으로 설계된 것으로 보인다는 점에서 솔라윈즈 공격과 유사하다"라며 "공급망은 언제든 강력하거나 날카로운 공격의 도구가 될 수 있기 때문에 조직은 공급망을 간과해선 안 된다"라고 말했다.