출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=101918&kind=0

라자루스가 최근 한국과 라트비아의 IT 업체 두 곳을 공격했다. 모두 해당 업체의 고객사들을 노리기 위한 것으로 보인다. 올해 대대적으로 유행한 공급망 공격이 라자루스에게도 적잖은 영감을 준 것으로 보인다.
 
[보안뉴스 문가용 기자] 북한의 악명 높은 해킹 단체인 라자루스(Lazarus)가 IT 공급망에 관심을 가지고 있다는 증거가 최근 자주 발견되고 있다. 보안 업체 카스퍼스키(Kaspersky)는 최근 라자루스가 진행한 공격 캠페인 두 건을 적발했다고 발표하며 IT 기업 한 군데의 네트워크가 침해된 부분을 주목해야 한다고 주장했다. 해당 기업이 아니라 그 기업의 고객사들을 노린 것으로 보이기 때문이다. 

카스퍼스키에 의하면 라자루스가 최근 침해한 건 한국의 보안 소프트웨어 벤더사라고 한다. 공격자들은 이 회사의 네트워크에 침투한 뒤, 한국의 한 싱크탱크 조직에 원격 접근 트로이목마인 블라인딩캔(Blindingcan)과 코퍼헤지(Copperhedge)를 심었다고 한다. 이 두 가지 RAT은 지난 5월과 8월 미국 CISA가 조심하라고 경고한 라자루스의 공격 무기다. 당시 CISA는 “라자루스가 이 두 가지 도구를 통해 피해자의 시스템에 지속적으로 드나들고 있다”고 발표했었다.
 
그 다음 라자루스는 라트비아에 있는 IT 자산 관리 제품을 개발해 판매하는 업체를 공격한 것으로 밝혀졌다. 해당 업체 침해 후 라자루스는 또 다시 코퍼헤지 백도어를 심었다. “공격자들은 매우 교묘하여 코퍼헤지 멀웨어가 메모리에서만 실행되도록 했습니다.” 카스퍼스키의 수석 보안 연구원인 아리엘 융하이트(Ariel Jungheit)의 설명이다. “다만 해당 라트비아 업체에서 개발하는 제품들까지 라자루스가 침해했는지 안 했는지는 아직 알 수 없습니다. 했다면 사용자들 사이에서 피해가 계속 확산할 것입니다.”
 
융하이트는 “최근 적발된 라자루스의 캠페인 모두가 여러 고객사를 둔 IT 업체라는 건, 라자루스가 IT 공급망 공격에 눈을 떴다는 뜻으로 해석된다”고 설명한다. 이 해석이 어색하지 않은 건 올 한 해 유독 IT 공급망이 연루된 대형 사이버 보안 사건이 많이 터졌기 때문이다. 러시아 노벨륨(Nobelium)은 솔라윈즈(SolarWinds)를 침해했고, 유명 FTA 개발사인 액셀리온(Accellion)도 당했으며, 깃허브, PyPl, 도커 허브 등 개발자들의 코드 공유 사이트들도 끊임없는 공격에 시달렸다.
 
작년과 올해 커다란 골칫거리가 되고 있긴 하지만 공급망 공격이라는 건 예전부터 존재해 왔다. 2019년 바륨(Barium)이라는 공격 단체는 하드웨어 제조사인 에이수스(Asus)의 소프트웨어 업데이트 시스템을 감염시키고, 이를 통해 에이스수 고객사들에 멀웨어를 퍼트렸었다. 이 공격은 셰도우해머 작전(Operation ShadowHammer)으로 알려져 있고, 멀웨어는 40만 대가 넘는 시스템에서 발견됐다. 



카스퍼스키의 수석 연구원인 데이비드 엠(David Emm)은 “최근 사이버 공격자들은 대대적으로 공급망 공격을 실시하고 있다”며 “한 업체만 공격하면 그 영향력이 일파만파 퍼져가는 높은 효율성을 보이기 때문”이라고 설명한다. “공급망 공격은 결국 기업과 기업들이 상호간에 쌓아온 신뢰를 공략하는 것이기 때문에 효과적입니다. 그 신뢰가 있어서 우리는 사업을 하고, 그 신뢰가 있어 우리는 다양한 일들을 할 수 있거든요. 단순 ‘침해’ 이상의 장기적 피해를 우리에게 주고 있는 겁니다.”