유명 VoIP 솔루션 회사 3CX에서 거대 공급망 공격 사건이 발생했다. 누군가 이 회사의 정상 업데이트 파일에 악성 코드를 주입한 것이다. 이를 통해 익숙한 백도어 멀웨어가 다운로드 되는 것도 발견됐다.

[보안뉴스 문정후 기자] 북한의 라자루스(Lazarus)로 추정되는 해킹 그룹이 최근 3CX의 VoIP 데스크톱 애플리케이션을 침해함으로써 정보 탈취용 멀웨어를 3CX의 고객사에 퍼트리고 있다는 사실이 드러났다. 일부 3CX 고객사들에는 추가 멀웨어를 심는 상황도 있었다.


이 사건에서 주력으로 활용되는 멀웨어는 고푸람(Gopuram)으로, 여러 기능을 가진 모듈을 포함하고 있다. 데이터 탈취, 추가 멀웨어 설치, 임의 서비스 시작, 종료 및 삭제, 피해자 시스템의 직접 제어 권한 등을 모듈에 따라 다양하게 구사할 수 있다. 보안 업체 카스퍼스키(Kaspersky)가 일부 3CX 데스크톱앱(DesktopApp)이 고푸람에 감염되어 있음을 제일 먼저 발견했다. 보안 업계 일각에서는 라자루스가 10년 넘은 윈도 취약점인 CVE-2013-3900을 익스플로잇 한 것 아니냐는 이야기도 나오고 있다.

고푸람 : 라자루스와 관련이 있는 것으로 유명한 백도어
카스퍼스키는 고푸람을 최소 2020년부터 추적해 왔다고 한다. 당시 동남아시아의 암호화폐 기업 한 곳에서 고푸람이 처음으로 발견됐다. 그리고 이 고푸람으로부터 애플제우스(AppleJeus)라는 또 다른 백도어가 함께 설치된다는 사실도 발견됐다. 애플제우스 역시 라자루스와 관련이 있는 것으로 알려진 멀웨어다.

카스퍼스키는 4월 3일자 블로그 게시글을 통해 이번에 발견된 3CX 침해 공격에서 고푸람이 발견되었다는 사실을 기반으로 라자루스가 배후에 있을 가능성이 높은 것으로 보인다고 발표했다. 카스퍼스키의 수석 연구원 게오르기 쿠체린(Georgy Kucherin)은 “라자루스가 정찰을 하려 하는 것으로 보인다”며 “고푸람은 공격자들이 피해자를 침해한 후 두 번째로 설치하는 페이로드로 보인다”고 설명한다.

3CX는 영상 회의 솔루션인 PBX와 기업용 통신 앱(윈도용, 맥OS용, 리눅스용)인 3CX 데스크톱앱을 제공하는 벤더사로, 전 세계 60만 개 기업이 3CX의 고객사인 것으로 알려져 있다. 3CX 솔루션을 사용하는 사람은 매일 1200만 명에 달한다고 한다. 이것이 사실이라면 라자루스는 3CX를 침해함으로써 광범위한 기업들을 공격할 수 있게 된 것으로 의심된다.

대규모 공급망 공격
3월 30일 3CX의 CEO인 닉 갈리아(Nick Galea)와 CISO인 피에르 주르단(Pierre Jourdan)은 “일부 윈도용 및 맥용 버전의 소프트웨어가 감염되면서 멀웨어가 유포됐다”는 사실을 발표했다. 당시 3CX 데스크톱앱 바이너리의 정상 업데이트 파일에서 수상한 행동 패턴들이 발견됐다고 여러 보안 업체들이 알려왔고, 이를 확인한 내용을 발표한 것이었다.

분석 결과 애플리케이션의 설치 패키지 내에 있는 두 개의 DLL이 공격자에 의해 감염되었다는 사실이 밝혀졌다. 3CX에서 정상적으로 서명까지 된 채 고객들의 장비에서 자동으로 진행되는 업데이트를 통해 이 DLL 파일들은 유포되고 있었다. 수동으로 업데이트를 진행해도 마찬가지였다.

그렇게 한 번 피해자의 시스템에 올라타는 데 성공한 3CX 데스크톱앱(정상 서명은 되었으나 공격자가 침해한 버전)은 악성 설치파일을 실행시키고, 이를 시작으로 여러 단계를 거친 후에 정보 탈취 멀웨어를 심는다. 여러 보안 전문가들은 “공격자가 3CX 개발 및 빌드 환경에 높은 권한을 가지고 침투하는 데 성공했기 때문에 이런 공격이 가능한 것”이라고 설명한다. 3CX 측은 보안 업체 맨디언트(Mandiant)에 의뢰해 정확히 무슨 일이 일어난 건지 파악하는 중이다.

10년짜리 윈도 취약점?
이 사건에는 10년 전에 발견된 취약점도 하나 연루되어 있다. 2013년에 발견되고 패치된 취약점으로, 당시 MS는 해당 취약점에 대해 다음과 같이 설명했었다. “익스플로잇에 성공한 공격자들은 서명된 실행파일에 악성 코드를 삽입할 수 있게 됩니다.”

그러면서 MS는 이를 패치했는데, 그러면서 윈도 오센티코드(Windows Authenticode)로 서명된 바이너리들의 인증 방식 자체를 변경해야만 했다. 이미 서명된 바이너리를 누군가 변경하면 해당 바이너리를 더 이상 서명된 바이너리로 윈도가 인식하지 않도록 한 것이었다. 다만 이 패치는 ‘옵트인’ 방식으로 이뤄졌다. 사용자들이 패치를 적용할 것인지 말 것인지를 선택하도록 한 것이다.

라자루스가 이 취약점을 통해 자신들의 악성 코드를 정상적으로 서명된 3CX 업데이트 파일에 추가한 것으로 보인다는 의견이 일부 보안 전문가들 사이에서 존재한다. 높은 가능성을 가지고 있긴 하지만 아직 공식적으로 인정된 내용은 아니다.

보안 업체 시만텍(Symantec)의 수석 위협 분석가인 브리지드 오고만(Brigid O’Gorman)은 “3CX 공격자들이 암호화 된 데이터를 서명된 MS DLL에 덧붙이는 것을 발견했다”며 “데이터 그 자체로 악성 코드는 아니지만 뭔가 자극을 주거나 발동을 시킬 경우 악성 코드로 변한다”고 설명한다. “이번 공격에서 3CX 애플리케이션이 ffmpeg.dll 파일을 사이드로딩 하는 것으로 분석됐습니다. 이 파일은 서명된 MS DLL에 덧붙은 추가 데이터를 읽고 복호화 합니다.”

3CX를 사용하는 고객사들은 라자루스의 이번 공격에 어떻게 맞서야 할까? 오고만은 “현재는 CVE-2013-3900에 대한 패치를 찾아 적용하는 것이 최고의 방법”이라고 말한다. “윈도 11을 사용 중에 있다면 예전에 MS의 CVE-2013-3900 패치를 적용했다 하더라도 다시 한 적용하는 것을 권합니다. 새 버전의 OS가 패치를 되돌리기도 하기 때문입니다.”

3줄 요약
1. 전 세계 60만 기업이 사용하는 VoIP 솔루션 생태계에서 거대 공급망 공격 발생.
2. 배후 세력은 북한의 라자루스일 가능성이 높아 보임.
3. 10년 전에 패치된 MS 윈도 취약점도 연루되어 있는 것으로 추정됨.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>