카스퍼스키, 미공개 감염 체인 규명으로 전체 공격 흐름 완성
조지 쿠체린 카스퍼스키 연구원 “안전하다고 단정 짓는 것이 가장 위험”

[보안뉴스 조재호 기자] 널리 활용되는 문서 편집기인 ‘노트패드++(Notepad++)’를 악용한 공급망 공격이 기존에 알려진 것보다 훨씬 복잡하고 정교하게 진행된 것으로 드러났다. 공격자들은 수사망을 피하기 위해 인프라를 수시로 갈아치우는 치밀함을 보였다.


9일 글로벌 카스퍼스키는 자사 글로벌 연구 분석팀(GReAT)의 분석 결과를 인용해, 최근 발생한 노트패드++ 공급망 공격이 필리핀의 정부 기관, 엘살바도르의 금융 기관, 베트남의 IT 서비스 제공업체 등을 주요 표적으로 삼았다고 밝혔다.

분석에 따르면 공격자들은 2025년 7월부터 10월 사이, 약 1개월 주기로 악성코드(Malware), 명령 및 제어(C2) 인프라, 전달 방식을 전면적으로 변경하는 수법을 사용했다.

이들은 최소 세 가지 이상의 서로 다른 감염 체인을 활용했으며, 이 중 두 가지는 지금까지 대중에게 공개되지 않았던 것으로 파악됐다. 특히 7월부터 9월까지 사용된 공격 인프라는 IP 주소, 도메인 이름, 파일 해시가 10월 이후 발견된 지표와는 완전히 다른 것으로 확인됐다. 이는 현재 공개적으로 문서화된 단일 공격 체인이 거대하고 정교한 위협의 ‘빙산의 일각’에 불과함을 시사한다.

카스퍼스키는 기존에 공개된 침해 지표(IoC)에만 의존해 시스템을 점검할 경우, 심각한 보안 사각지대가 발생할 수 있다고 경고했다. 10월에 공개된 IoC를 기준으로 보안 점검을 수행한 조직들은 이미 7월~9월 사이에 진행된 초기 감염 단계를 탐지하지 못하고 놓쳤을 가능성이 매우 높기 때문이다.

조지 쿠체린(Georgy Kucherin) 카스퍼스키 GReAT 선임 보안 연구원은 “공개적으로 알려진 IoC를 기준으로 시스템을 점검했을 때 아무것도 발견되지 않았다고 해서 안전하다고 단정해서는 안 된다”며 “공격자들이 도구를 매우 빈번하게 교체해왔다는 점을 고려할 때, 아직 발견되지 않은 추가 공격 체인이 존재할 가능성도 배제할 수 없다”고 지적했다.

카스퍼스키 GReAT는 기존에 보고되지 않았던 6개의 악성 업데이트 해시, 14개의 C2 URL, 8개의 악성 파일 해시를 포함한 전체 침해 지표 목록을 공개했다. 전체 IoC 목록과 기술 분석은 시큐어리스트(Securelist)에서 확인할 수 있다.

이효은 카스퍼스키 한국지사장은 “노트패드++ 공급망 공격 사례에서 보듯이 공격자들은 지속적으로 전술과 도구를 변화시키고 있다”며 “기업이 알려진 공격 지표만을 기반으로 조사할 경우 위험을 놓칠 가능성이 매우 높으므로, 다양한 유형의 악성코드를 포괄적으로 탐지할 수 있는 솔루션을 통해 견고한 방어선을 구축해야 한다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>