검색

메뉴보기

'초대형 공급망 공격'...아수스 SW업데이트 시스템 해킹

'초대형 공급망 공격'...아수스 SW업데이트 시스템 해킹

아수스(ASUS) 소프트웨어(SW) 업데이트 시스템이 해킹 당했다. 100만대가 넘는 아수스 윈도 사용 컴퓨터에 백도어가 뿌려졌다. PC 부품 공급망을 해킹해 완제품 구매자에게 피해를 입혔다.

26일 카스퍼스키랩과 외신에 따르면 100만대 이상 아수스 윈도 컴퓨터가 라이브 업데이트를 통해 백도어에 감염된 것으로 나타났다. 아수스는 세계시장 점유율 5위 PC공급 기업이다.

한국 사용자 피해 여부는 밝혀지지 않았다. 한국인터넷진흥원(KISA)은 침해사고대응팀(CERT)과 보안기업 등을 통해 악성코드·피해유형 파악에 나설 계획이다.

이번 공격은 지난해 6월부터 11월 사이에 발생한 것으로 추정된다. 공격자는 아수스 SW업데이트 시스템을 해킹했다. 공격자는 아수스 서버를 장악한 후 중요SW 업데이트를 가장해 백도어 설치 악성코드를 내려보냈다. 공격자는 아수스 인증서(코드사인)를 탈취해 가짜 업데이트를 내려보냈다.

아수스 라이브 업데이트 유틸리티를 활성화한 사용자 모두 해당 공격을 받았다. 라이브 업데이트 유틸리티는 아수스 컴퓨터에 미리 설치 돼 있다. 바이오스, 애플리케이션, 소프트웨어 드라이브, 펌웨어 등을 업데이트 하는 데 사용한다.

공격자는 600여개 MAC주소를 미리 보유 한 뒤 공격 대상을 특정했다. MAC는 통신을 위해 랜카드에 부여된 일종의 주소다. 공격자는 아수스 업데이트 서버에 MAC 주소를 올려둔 뒤 특정 MAC주소가 발견되면 공격자가 운영하는 C&C서버에서 추가 악성코드를 다운로드 한다. 2차 악성코드 종류 등은 밝혀지지 않았지만 PC접근권한을 얻으려 한 것으로 추정된다.

공격자는 1차 공격이 드러날 것을 우려해 백도어 관련 악성코드만 230여개를 유포했다. 개별 PC에서 1개 백도어를 찾는다고 하더라도 수백여개 백도어가 유포 돼 공격에서 벗어나기 어렵다. 공격대상이 된 PC는 현재까지 600여대로 추정된다. 다만 공격자가 어떤 PC를 목표로 했으며, 어떤 공격이 추가 됐는지는 알려지지 않았다.

'초대형 공급망 공격'...아수스 SW업데이트 시스템 해킹

공격받은 PC는 러시아(약 18%), 독일(16%), 프랑스(13%) 등 유럽에 집중됐다. 이외에도 미국, 스페인, 캐나다, 대만, 일본, 브라질 등은 2% 내외 피해로 나타났다. 한국은 별도로 분류되지 않았다.

카스퍼스키랩은 1월 31일 아수스에 해당 결과를 통보했지만 이에 대한 답변을 제시하지 않았으며 고객에게도 알리지 않았다. 전문가는 이번 공급망 공격이 신뢰할 수 있는 SW 업데이트를 위장했던 과거 스턱스넷, 낫페트야 등과 유사하지만 이보다 한 단계 진화했다고 설명했다.

코스틴 라이우 카스퍼스키랩 글로벌리서치분석팀장은 “과거와 달리 복잡성, 은밀성에서 한단계 더 높은 공격”이라면서 “해당 악성코드가 뿌려졌다고 하더라도 공격자 목표가 아니면 악성코드가 작동하지 않도록 설계 돼 오랫동안 감지되지 않았다”고 말했다.

국내서는 아직 피해 현황이 접수되지 않았다. KISA 관계자는 “아수스가 해외기업으로 직접 소통이 어려워 보안기업과 CERT를 중심으로 현황파악에 나서고 있다”면서 “향후 사용자 악성코드, 피해유형 파악 등에 나설 예정”이라고 말했다. 카스퍼스키랩은 조사가 현재 진행 중이며 사고원인, 결과 등은 다음달 싱가포르에서 열리는 'SAS 2019' 컨퍼런스에서 발표할 예정이다.

안혜란 기자 ran@boan.com

위방향 화살표