트렌드마이크로, ‘오퍼레이션 레드 시그니처’로 명명…주의 당부

▲ 오퍼레이션 레드 시그니처의 공격 체인

[아이티데일리] 국내 기업의 정보탈취를 목표로 한 공급망 공격(Supply Chain Attack)이 발생해 사용자의 주의가 요구된다.

21일 트렌드마이크로(대표 에바 첸)는 한국의 이슈메이커스랩(IssueMakersLab)과 함께 국내 기업의 정보탈취를 목표로 한 공급망 공격을 발견하고, ‘오퍼레이션 레드 시그니처(Operation Red Signature)’로 명명했다고 밝혔다.

‘오퍼레이션 레드 시그니처’ 공격 방식을 살펴보면, 공격자들은 원격 지원 솔루션 업체의 업데이트 서버를 해킹한 뒤, 업데이트 프로세스를 통해 ‘9002 RAT’이라 불리는 정보탈취용 악성코드를 전달한다. 멀웨어를 탈취된 인증서에 서명하는 데 사용하며, 공격대상 기업의 IP 주소 범위에 있는 경우에만 멀웨어를 전송하도록 업데이트 서버를 조작, 작동 시간을 2주 이내로 제한하는 등 맞춤형 공격을 시도한 것으로 드러났다.

해당 공격에 대해서 트렌드마이크로 관계자는 “본 공격을 당한 회사의 보안담당자가 ‘연계 위협 방어 시스템(Connected Threat Defense)’을 빠르게 작동, 침해사실을 인지 및 내부 프로세스를 업데이트시켜 더 큰 피해를 막을 수 있었다”며, “공격자는 특정 업체의 데이터베이스 서버 관리 권한을 탈취하기 위해 접근한 것으로 보인다”고 말했다.

트렌드마이크로는 ‘오퍼레이션 레드 시그니처’ 등 공급망 공격의 영향을 최소화하기 위한 4가지 방법을 제시했다. 먼저, 기업의 온라인 온프레미스의 보안을 유지하는 것 외에도 사용 중인 응용프로그램에 보안 통제를 적용해야 한다. 또한 공급망 공격은 주로 타깃형으로 이뤄지기 때문에 관리 및 모니터링 체계를 갖춰야 한다. 이외에도 방화벽, 침입 방지 시스템 등 네트워크 보안 체계 구축하고, 애플리케이션 제어, 시스템 관리 도구 제한 등 최소 권한 부여 원칙을 적용할 것을 당부했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지