기업체 대상 업데이트 망 침투 해킹 공격 발견..주의 요구

트렌드마이크로와 이슈메이커스랩이 발견한 ‘Operation Red Signature’ 공격 개념도. 트렌드마이크로 제공

[이데일리 이재운 기자] 정보보안 업체 트렌드마이크로와 이슈메이커스랩은 국내 기업의 정보탈취를 목표로 한 공급망 공격(Supply Chain Attack)을 발견했다고 21일 밝혔다.

공급망 공격은 소프트웨어의 유지보수 등을 위해 지원 업체가 활용하는 자동 업데이트나 원격지원 네트워크에 침투해 악성 행위를 하는 공격방식을 의미한다.

‘Operation Red Signature’로 명명한 이 공격은 원격 지원 솔루션 업체의 업데이트 서버를 해킹한 뒤, 업데이트 프로세스를 통해 ‘9002 RAT’이라 불리는 정보탈취용 악성코드를 고객에게 보냈다. 다만 이로 인한 추가 피해는 보안 체계 작동으로 발생하지 않았다.

트렌드마이크로 관계자는 “본 공격을 당한 회사의 보안 담당자가 ‘연계 위협 방어 시스템(Connected Threat Defense)’을 발 빠르게 작동, 침해사실을 인지 및 내부 프로세스를 업데이트시켜 더 큰 피해를 막을 수 있었던 것”이라며 “공격자는 특정 업체의 데이터베이스 서버 관리 권한을 탈취하기 위해 접근한 것으로 알고 있다”고 설명했다.

트렌드마이크로는 공급망 공격에 대한 발생이 최근 늘고 있다며, 이를 예방하기 위한 방안으로 △기업의 자체 온라인 보안 체계 구축은 물론 외부 업체의 응용 프로그램에 대한 관리 △적극적인 사고 대응 전략 수립 △네트워크에서 일어나는 비정상적인 활동에 대한 사전 모니터링 △네트워크 세분화, 데이터 분류, 시스템 관리 도구 제한 및 애플리케이션 제어 등의 권한 부여 최소화 등을 제시했다.