요약 : 보안 외신 시큐리티위크에 의하면 북한의 해킹 그룹 중 하나인 다이아몬드슬리트(Diamond Sleet)가 보안 전문가, 모의 해킹 전문가, 보안 회사 직원들을 표적으로 삼아 사이버 공격을 진행하고 있다고 한다. 최근에는 대만의 소프트웨어 업체인 사이버링크(CyberLink)가 침해를 당하기도 했었다. 이 때 다이아몬드슬리트는 사이버링크의 시스템에 침투해, 사이버링크가 개발한 소프트웨어의 설치파일을 살짝 손본 것으로 분석됐다. 두 번째 악성 페이로드를 다운로드 받아 설치하도록 한 것이다. 사이버링크의 시스템에서 직접 조작을 한 것이니 해당 설치파일은 정상적으로 서명됐고, 따라서 피해자들은 무방비로 당할 수밖에 없었다. 이때 사용된 멀웨어는 램로드(LambLoad)라고 한다.


배경 : 다이아몬드슬리트가 구사한 전략은 ‘공급망 공격’이라고 불린다. 소프트웨어가 개발되고 유통되어 소비자들의 컴퓨터에 설치되는 과정 내에 직접 개입하는 것으로, 탐지가 어렵고 피해가 광범위하게 확산된다는 장점이 있기 때문에 공격자들이 선호한다. 2019년 러시아의 공격자로 보이는 단체가 솔라윈즈(SolarWinds)라는 소프트웨어 기업을 공략할 때 사용된 기법으로, 이를 통해 수많은 기업들이 피해를 입었다. 그러면서 아예 개발자들이 자주 사용하는 공공 리포지터리를 감염시키는 시도도 유행하기 시작했다.

말말말 : “감염된 설치파일이 일본, 대만을 거쳐 캐나다와 미국에서도 발견되기 시작했습니다. 공급망 공격이기 때문에 광범위하고 빠른 확산이 있을 것으로 예상됩니다.” -MS-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>