국정원·英안보기관, 北 'SW 공급망 해킹' 위협 경고
자유인17
IT과학
1
476
2023.11.23 20:07
22일 한영 정상회담 직후 합동 권고문 발표
매직라인 4NX·3CX 대상 북한 공격 분석 국가정보원 NCSC, 영국 정보통신본부 소속 NCSC와 '사이버 보안 권고문' 발표 (국정원 제공)
(서울=뉴스1) 오현주 기자 = 최근 북한 해킹 조직의 범용 SW(소프트웨어) 공급망 해킹 공격이 확인돼 주의가 요구된다.
국가정보원 국가사이버안보센터(NCSC)는 23일 영국 정보통신본부(GCHQ) 소속 NCSC와 '사이버 보안 권고문'을 내고 북한 해커 조직이 다수 기업·개인이 쓰는 공급망 제품을 대상으로 한 해킹 수법을 확인했다고 강조했다.
양국 NCSC는 북한 해커들이 대규모 피해를 낳는 공급망 공격을 지속하고, 공격 수법이 지능적으로 진화하는 점에 주목했다.
이번 합동 권고문은 최근 발생한 대표적인 공급망 공격 사례로 국내 수천만명이 사용하는 보안인증 SW '매직라인 4NX'와 글로벌 기업·기관 60만곳이 쓰는 화상회의 솔루션 '3CX'를 꼽았다.
구체적으로 북한 해킹 조직은 '매직라인 4NX' 솔루션에 워터링홀(watering hole) 공격 수법을 적용했다. '워터링홀'은 사자가 마치 먹이를 습격하기 위해 물 웅덩이 근처에서 매복하는 것을 빗댄 말이다.
특정 대상을 공격하기 위해 해당 인물이 자주 방문하는 웹사이트에 악성코드를 감염시킨 후 잠복하는 방식이다.
실제 북한 해킹조직은 기관 내부망에 침투하기 위해 기관 인터넷 PC를 우선 점거했다. 또 보안인증 SW와 망연계 시스템이 가진 취약점을 악용하여 내부망에 접근해 자료 절취를 시도했다.
국정원은 북한이 최근까지 공격을 시도하는 것을 포착해 올해 6월과 11월 유관기관과 함께 선제적 조치를 취한 바 있다.
이번 권고문에서는 △MagicLine 4NX 업데이트 △망분리 장비의 비인가 서비스·통신 점검 등 예방조치 이행을 재차 강조했다.
또 북한 해커는 최근 화상통신 SW인 3CX '데스크톱 앱'도 노렸다. 공격자는 3CX 개발과정에 침투한 뒤 설치 프로그램에 악성코드를 숨겼다. 이후 3CX 공식 웹사이트를 통해 수많은 고객의 PC 등을 감염시켰다.
해당 악성코드는 최소 7일이 지난 후에 가동돼 피해자의 △3CX 계정정보 △크롬·엣지 등 웹브라우저 정보를 절취했다.
양국 NCSC는 현재 3CX SW 업데이트를 통해 대응 중이지만, 유사 사례 방지를 위해 백신을 최신 버전으로 업데이트하라고 당부했다.
이번 권고문은 22일 한영 정상회담에서 양국이 '사이버 분야 파트너십'을 체결한 직후 나온 첫 번째 결과문이다.
김규현 국정원장은 "영국 사이버안보기관과 보안 권고문을 발표한 것은 양국의 확고한 대북 사이버 억지 의지를 보여준 것이라고 평가할 수 있다"며 "앞으로도 국제적 사이버안보 위협 활동을 차단하기 위해 최선을 다할 것"이라고 말했다.
매직라인 4NX·3CX 대상 북한 공격 분석
(서울=뉴스1) 오현주 기자 = 최근 북한 해킹 조직의 범용 SW(소프트웨어) 공급망 해킹 공격이 확인돼 주의가 요구된다.
국가정보원 국가사이버안보센터(NCSC)는 23일 영국 정보통신본부(GCHQ) 소속 NCSC와 '사이버 보안 권고문'을 내고 북한 해커 조직이 다수 기업·개인이 쓰는 공급망 제품을 대상으로 한 해킹 수법을 확인했다고 강조했다.
양국 NCSC는 북한 해커들이 대규모 피해를 낳는 공급망 공격을 지속하고, 공격 수법이 지능적으로 진화하는 점에 주목했다.
이번 합동 권고문은 최근 발생한 대표적인 공급망 공격 사례로 국내 수천만명이 사용하는 보안인증 SW '매직라인 4NX'와 글로벌 기업·기관 60만곳이 쓰는 화상회의 솔루션 '3CX'를 꼽았다.
구체적으로 북한 해킹 조직은 '매직라인 4NX' 솔루션에 워터링홀(watering hole) 공격 수법을 적용했다. '워터링홀'은 사자가 마치 먹이를 습격하기 위해 물 웅덩이 근처에서 매복하는 것을 빗댄 말이다.
특정 대상을 공격하기 위해 해당 인물이 자주 방문하는 웹사이트에 악성코드를 감염시킨 후 잠복하는 방식이다.
실제 북한 해킹조직은 기관 내부망에 침투하기 위해 기관 인터넷 PC를 우선 점거했다. 또 보안인증 SW와 망연계 시스템이 가진 취약점을 악용하여 내부망에 접근해 자료 절취를 시도했다.
국정원은 북한이 최근까지 공격을 시도하는 것을 포착해 올해 6월과 11월 유관기관과 함께 선제적 조치를 취한 바 있다.
이번 권고문에서는 △MagicLine 4NX 업데이트 △망분리 장비의 비인가 서비스·통신 점검 등 예방조치 이행을 재차 강조했다.
또 북한 해커는 최근 화상통신 SW인 3CX '데스크톱 앱'도 노렸다. 공격자는 3CX 개발과정에 침투한 뒤 설치 프로그램에 악성코드를 숨겼다. 이후 3CX 공식 웹사이트를 통해 수많은 고객의 PC 등을 감염시켰다.
해당 악성코드는 최소 7일이 지난 후에 가동돼 피해자의 △3CX 계정정보 △크롬·엣지 등 웹브라우저 정보를 절취했다.
양국 NCSC는 현재 3CX SW 업데이트를 통해 대응 중이지만, 유사 사례 방지를 위해 백신을 최신 버전으로 업데이트하라고 당부했다.
이번 권고문은 22일 한영 정상회담에서 양국이 '사이버 분야 파트너십'을 체결한 직후 나온 첫 번째 결과문이다.
김규현 국정원장은 "영국 사이버안보기관과 보안 권고문을 발표한 것은 양국의 확고한 대북 사이버 억지 의지를 보여준 것이라고 평가할 수 있다"며 "앞으로도 국제적 사이버안보 위협 활동을 차단하기 위해 최선을 다할 것"이라고 말했다.