NPM이라는 유명 오픈소스 리포지터리에서 올해 초 두 건의 공급망 공격 캠페인이 발견됐다. 별개의 건으로 보이는데, 큰 틀에서 비슷한 점이 한두 개가 아니다. 공격자들 사이에서 은행을 노리는 새로운 방법이 개발된 것으로 보인다.

[보안뉴스 문가용 기자] 노드 패키지 매니저(Node Package Manager, NPM) 레지스트리에 감염된 패키지를 올려두는 방식으로 은행의 소프트웨어 개발 환경을 침해하는 사건이 최근 두 건이나 발생했다. 두 사건이 서로 연관성이 없어 보인다는 게 더 큰 문제다. 공격자들 사이에서 이러한 공격 기법이 유행하기 시작한 거라고 해석할 수 있기 때문이다.


보안 업체 체크막스(Checkmarx)의 연구원들이 발견한 바에 의하면 “오픈소스 소프트웨어 공급망을 통해 은행을 공략하는 데 성공한 첫 번째 사례”가 될 수 있다고 한다. 뿐만 아니라 체크막스는 “이런 식의 공격이 현재 공격자들 사이에서 서서히 유행하는 중으로 보인다”고 경고했다. 따라서 은행만 위험한 건 아니라고 한다.

고급 기술과 표적 공격
“피해자가 보유하고 있는 웹 자산들 중 특정 요소들을 선택해 공격한다는 것은 꽤나 고난이도 작업입니다. 특히 그 요소에 악성 기능들을 덧붙이는 방식으로 감염시키는 것은 고급 스킬에 속합니다.” 체크막스의 설명이다.

체크막스가 보고서를 통해 공개한 공격은 지난 4~5월에 발생한 것으로, 당시 공격자들은 자신들이 공격할 은행의 직원을 사칭해 두 개의 악성 패키지를 NPM 레지스트리에 업로드했다. 체크막스의 연구원들은 이 악성 패키지를 추적하다가 링크드인 프로파일 하나를 발견할 수 있었다. 마치 피해 은행에서 근무하는 사람의 것처럼 꾸며져 있었다. 그래서 체크막스는 처음에 은행 측에서 레드팀 훈련을 하고 있다고 생각했었다고 한다.

두 개의 악성 NPM 패키지들에는 미리 설치된 스크립트가 포함되어 있었다. 패키지를 설치할 때 이 스크립트가 같이 실행되도록 설계되어 있었다. 실행된 스크립트는 호스트 시스템의 OS를 먼저 파악한다. 윈도냐 리눅스냐 맥OS에 따라 NPM 패키지 내에서 알맞은 파일들(미리 암호화 되어 있음)을 찾아 복호화 한다. 복호화 된 파일들은 실행됨과 동시에 C&C 서버로부터 두 번째 페이로드를 다운로드 받는다.

“두 번째 페이로드를 활용하기 위해 공격자들은 애저의 CDN 서브도메인을 영리하게 활용하고 있기도 합니다. 이렇게 할 경우 도메인 평판을 기반으로 악성 도메인을 차단하는 보안 기술로서는 두 번째 페이로드의 다운로드를 막을 수 있는 방법이 없습니다. 애저의 서브도메인은 정상으로 보이기 때문이죠. 사람들이 봐도 애저라는 것 때문에 속을 가능성이 높죠.”

이 두 번째 페이로드는 ‘하복 프레임워크(Havoc Framework)’인 것으로 분석됐다. 하복 프레임워크는 모의 해킹을 위한 인기 높은 오픈소스 프레임워크로, 많은 기업과 기관들이 보안 현황을 파악하고 강화하는 데 사용한다. 윈도 디펜더를 우회할 수 있으며, 이 때문에 공격자들 사이에서도 인기가 높다고 체크막스는 설명한다.

체크막스의 보안 연구원 아비아드 게르숀(Avaid Gershon)은 “공격자들은 하복 프레임워크를 사용해 은행 네트워크 내부의 감염된 장비들에 접근할 수 있었을 것”이라고 말한다. “그런 후에는 은행의 보안 실태에 따라, 혹은 공격자의 목적에 따라 다양한 악성 행위를 실시할 수 있었을 것입니다. 데이터 탈취, 금융 탈취, 랜섬웨어 공격 등 할 수 있는 일들을 무궁무진하죠.”

또 다른 사건
체크막스가 지적한 또 다른 사건은 올해 2월에 발생했다고 한다. 위에서 언급된 4~5월의 사건과 아무런 연관성이 없어 보이는 게 지금까지의 조사 결과다. 다만 이 2월의 공격에서도 공격자들은 자신들이 만든 악성 패키지를 NPM에 등록시키는 방법으로 은행을 감염시켰다. 당연하지만 피해 은행과 연관성이 깊은 패키지들이었다. 해당 은행의 웹사이트의 로그인 양식과 관련이 있으며, 사용자가 로그인을 위해 입력하는 정보를 확보해 다른 곳으로 유출시키는 방식으로 공격이 진행됐었다.

게르숀은 “해당 NPM 패키지들은 은행 산업 전체에 통용될 수 있는 공격 도구들이라기보다 특정 은행 몇 개만을 위해 만들어진 것으로 분석됐다”고 밝혔다. “4~5월의 공격에서도 공격자들이 특정 은행의 직원을 사칭했으므로 은행 몇 군데를 특별히 노렸다고 볼 수 있습니다. 2월의 사건도 여러 가지 증거와 자료들을 합쳤을 때 비슷한 의도를 발견할 수 있었습니다. 다만 2월 공격의 경우 은행 외의 피해자들이 생겨날 가능성이 조금 더 높았습니다.”

최근 NPM과 PyPI, 혹은 깃허브 등 인기 높은 공공 리포지터리들을 통해 악성 패키지를 전파하고, 그렇게 함으로써 피해자들을 한꺼번에 양성시키려는 시도가 지속적으로 이어지고 있다. 공급망 공격이 유행을 넘어 대세 공격 기법으로 자리를 잡아가는 모양새다. 보안 업체 리버싱랩스(ReversingLabs)가 올해 조사한 바에 의하면 오픈소스 리포지터리를 겨냥한 공격이 2018년에 비해 289% 증가했다고 한다.

하지만 특정 은행이 이런 공급망 공격의 표적이 되고 실제로 당한 것은 이번이 처음이라고 체크막스는 경고했다. “한 산업 분야에서 이런 공격이 성공을 거두게 되면 다른 분야로도 응용되어 퍼집니다. 그러므로 금융권만이 아니라 여러 산업에서 이 상황을 지켜봐야 할 것입니다.”

3줄 요약
1. 오픈소스 리포지터리로서 꽤나 인기가 높은 NPM.
2. 최근 몇몇 은행들만을 위한 NPM 공급망 공격이 발견됨.
3. 은행을 노리는 공격자들 사이에서 이러한 공격 기법이 유행하기 시작한 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>