카세야 IT 관리 SW 공급망 통한 랜섬웨어 배포 사례

이전에 썼던 에세이인 "소프트웨어 공급망 공격 사례"에서 해커가 소프트웨어를 배포하는 서버를 해킹해서 악성코드를 감염시키는 공급망 공격(Supply Chain Attack)에 대해서 설명드린적이 있었는데요. 오늘은 공급망 공격을 통해 랜섬웨어를 배포하여 스웨덴의 슈퍼마켓 전산망을 마비시킨 사례에 대해서 말씀드릴까 합니다. 다행히 한국에서는 피해를 입은 사례는 없지만, KISA에서 별도의 공지가 있을 때까지 해당 소프트웨어 사용을 중지하라는 권고를 내렸다고 하죠. 자.. 그럼 공급망 공격에 대해 간단히 리마인드 한 후, 해커가 어떤 방식으로 랜섬웨어를 감염시켰는지 설명해보도록 하겠습니다.

​

공급망 공격은 사용자의 PC를 직접 공격하는게 아닌 사용자가 설치하는 소프트웨어를 배포하는 서버를 노리는 공격이라고 말씀드렸는데요. 전쟁을 할 때 적의 본거지를 직접 공격하는게 아니라, 물자 공급을 막아버려서 수세에 몰리게 하는.. 이런 사례에 대해 빗대어 설명할 수 있죠. 이번에 공급망 공격을 당한 기업은 미국의 카세야라는 IT 관리 솔루션 제공 업체라고 합니다. '레빌'이라고하는 해커 조직이 'VSA'라는 IT 원격 모니터링 및 관리 소프트웨어를 배포하는 서버 자체를 공격한거죠. 그래서 이 서버를 통해 해당 소프트웨어의 업데이트를 진행한 곳은 모두 랜섬웨어에 감염되었다고 합니다.

​

추가적으로 이번 공격에서는 랜섬웨어를 실행할 때 백신의 탐지를 우회하기 위해 보통 DLL 하이재킹(hijacking)이라고 부르는 DLL 사이드 로딩(side loading) 기법을 사용했다고 하는데, 이 부분에 대해서 간략히 설명드려보죠. 여기서는 설명하기 쉽게 화이트리스트(White-list) 기반으로 동작하는 백신으로 설명드리겠습니다. 기본적으로 화이트리스트 정책으로 동작하는 백신의 경우, 리스트에 등록되어 있는 앱을 제외한 다른 앱의 실행을 차단할 겁니다. 그런데 말이죠.. 해커가 만약 화이트리스트에 등록된 앱 자체에서 악성 행위를 수행하도록 만들면 어떻게 될까요? 물론 단순히 파일을 바꿔치기할 수도 있겠지만, 당연히 백신에서 앱 실행 전에 파일의 무결성을 확인할테니 앱 실행 후를 노려야 하겠죠.

​

어느 정도 공부하시는 분은 다 아시겠지만, 윈도우 운영체제에서는 사용자가 EXE와 같은 실행파일을 더블 클릭해서 실행하면 실행파일의 코드가 메모리에 로딩되고, 시스템이나 다른 곳에서 만든 API를 사용하기 위해 DLL 또한 동일한 메모리에 같이 올립니다. 여기서 해커는 해당 앱에 로딩되는 DLL을 분석하고 추가 악성 행위를 하는 로직을 추가해서 DLL을 바꿔치기 합니다. 일반적으로 앱에서 DLL을 로딩할 때 DLL의 무결성을 검증하는 로직이 누락되어 있다면 이 공격에 당할 수 있겠죠. 이번에 말씀드린 사례도 마찬가지로 앱에서 DLL 로딩 시 무결성을 확인하는 과정이 누락되서 백신을 쉽게 우회할 수 있었던게 아닐까..라고 생각됩니다.

[긴급] 대규모 공급망 공격 또 발생! IT 관리 SW 통해 랜섬웨어 연쇄 감염

사실 해커에게는 공급망 공격 자체가 다른 공격들보다 성공시키기 어려운 공격이죠. 기업에서 소프트웨어를 배포하는 서버에 많은 시간과 노력을 들여서 보안을 강화했을테니 말입니다. 하지만 저번 에세이에서 설명드렸듯 배포 서버에 한 번 침투하기만 하면, 그 파급력은 엄청나기 때문에 최근 많이 발생하고 있는 것으로 보입니다. 또한 공급망 공격을 통해 사용자의 PC가 악성코드에 감염되면, 랜섬웨어와 같이 사용자가 바로 알아챌 수 있는 변화가 보이지 않는 한 알기가 어렵죠. 이런 보안 사고가 일어나지 않기 위해서는 기업에서 좀 더 잘 보안에 신경써줘야하지 않을까.. 라는 생각을 조심스럽게 해봅니다. 오늘 설명드릴 내용은 다 말씀드렸으니 그럼 여기까지 쓰도록 하겠습니다. 감사합니다.