ERP솔루션 공급업체와 고객사를 타깃으로 악성코드 유포
KISA, 스피어피싱 또는 고객사 시스템 관리 문제 등 여러 가능성 놓고 조사중
보안전문가, 북한 해커그룹이 사용한 악성코드와 유사한 것으로 드러나

[보안뉴스 김경애 기자] 최근 중견기업용 ERP(전사적자원관리) 솔루션 공급업체와 고객사를 타깃으로 악성코드가 유포돼 이용자들의 주의가 요구된다.


보안업계에 따르면 중견기업용 ERP 솔루션 공급업체와 고객사를 노린 공격이 탐지됐다며 주의를 당부했다.

ERP 솔루션 공급업체는 전기전자, IT 서비스, 식품 유통, 제약 의료, 자동차부품, 화학, 일반제조업 등에 ERP 솔루션을 공급·구축하는 업체로 잘 알려져 있다. 특히, 해당 고객사의 경우 악성코드에 감염될 수 있어 주의가 요구된다. 고객사에는 보안업체도 포함돼 있지만, 본지 취재결과 해당 보안업체는 공격 대상에서 제외된 것으로 조사됐다. 반면, 통신사 회선을 이용하는 몇몇 고객사는 악성코드에 감염된 것으로 본지 취재결과 드러났다.

본지에 이를 알려온 제보자는 “해커가 솔루션 공급업체의 고객사를 대상으로 악성코드를 유포했다”며 “고객사 중 몇몇 업체에서 악성코드에 감염된 정황이 포착됐다”고 밝혔다.

이번 공격과 관련해 ERP 솔루션 공급업체 관계자는 “공격시도 흔적이 있어 내부적으로 다시 점검하고 해당 팀에서 조치를 취했다”며 “내부적으로도 접속 시도를 감지하고 전사적으로 정보 공유와 함께 주의사항에 대해 공지했다. 공격자는 유사 아이디를 사용해 공격한 것으로 알고 있다”고 말했다.

이번 사건과 관련해 한국인터넷진흥원 이동근 단장은 “악성코드가 뿌려진 게 맞다”며 “악성코드와 관련해서는 백신에 업데이트 될 수 있도록 백신회사와 정보를 공유했으며, 악성코드와 통신한 C&C 서버는 차단조치를 취했다. 다만 스피어피싱일 수도 있고, 고객사 시스템 관리 문제일 수도 있어 여러 가능성을 열어두고 감염경로 등을 조사하고 있다”고 말했다. 이어 “이번 사건에 대한 수사 착수 여부는 현재 검토 중인 것으로 알고 있다”고 덧붙였다.

이번 악성코드는 ERP 솔루션 공급업체와 고객사를 타깃으로 지난주에 뿌려진 것으로 알려졌다. 발견된 악성코드는 백도어로, 솔루션 업체의 특정 시스템 업데이트 프로그램에서 다운로드된 것으로 조사됐다. 이는 해커가 업데이트 파일을 악성코드로 바꿔치기 했다는 얘기다.

익명을 요청한 한 보안전문가는 “솔루션 업체의 특정 시스템 업데이트 파일내 PDB 정보에 한글문자열이 존재하고, 최종 다운로드 되는 백도어를 추적하면 해당 시스템의 업데이트 파일에서 다운로드된 것으로 드러났다”며 “이에 따라 솔루션 업체 소스코드가 유출돼 새로 만들었는지, 악성코드 제작자가 기존 업데이트 파일을 분석해서 새로 만들었지는 면밀히 조사해야 한다”고 강조했다.

더군다나 이번에 발견된 악성파일은 과거 북한 해커그룹으로 알려진 ‘안다리엘(Andariel)’이 뿌린 악성코드와 유사한 것으로 분석돼 공격 배후에도 관심이 모아지고 있다. 안다리엘은 유럽과 한국에 있는 현금자동인출기(ATM) 회사와 비트코인 거래소 등 금융권을 노리고 공격을 감행한 그룹으로 알려져 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>