지난 5월, 대한민국 IPany VPN 소프트웨어의 NSIS 인스톨러에서 악성 코드가 발견되었습니다.
중국 연계 해커들이 ESET Research를 통해 보고된 바에 따르면, 한국 VPN 제공업체인 IPany를 대상으로 치밀하게 계획된 공급망 공격을 감행하여 다수의 사용자를 악성코드에 노출시킨 것으로 알려졌습니다. 공격자들은 IPany의 소프트웨어 개발 파이프라인에 침투하여, 이 회사의 Windows 기반 VPN 애플리케이션용 NSIS 설치 파일에 악성 코드를 주입했습니다.
이 정교한 작전은 'SlowStepper'로 알려진 맞춤형 백도어를 무방비한 사용자들에게 배포하는 것을 가능하게 했습니다. 이는 사이버 스파이 활동을 위해 공급망 취약점이 악용된 또 다른 대표적인 사례입니다.
해당 보안 침해는 2024년 5월, 슬로바키아 기반 사이버 보안 회사인 ESET 연구원들에 의해 처음 발견되었습니다. 연구원들은 IPany의 공식 웹사이트에서 직접 제공되는 변조된 설치 파일을 식별했습니다. 공격자들은 이 설치 파일에 SlowStepper 백도어를 포함하도록 변조했습니다. 이 모듈형 악성 코드는 공격자가 민감한 데이터를 유출하고, 명령을 실행하며, 감염된 시스템에 장기간 지속적으로 침투하는 것을 가능하게 합니다. 사용자들이 정상적인 소프트웨어 업데이트로 오인하고 파일을 다운로드하면서, 의도치 않게 시스템을 백도어에 노출시켰고, 이는 공격자들에게 사용자의 장치에 대한 상당한 통제권을 부여했습니다.
Notepad++ 업데이트 서버가 표적 공격으로 하이재킹되다
ESET 연구원 파쿤도 무뇨즈(Facundo Muñoz)는 블로그 게시물에서 "피해자들은 https://ipany[.]kr/download/IPanyVPNsetup.zip이라는 URL에서 악성 NSIS 설치 파일이 담긴 ZIP 아카이브를 수동으로 다운로드한 것으로 보입니다"라고 밝혔습니다.
이번 공격을 주도한 그룹인 PlushDaemon은 최소 2019년부터 활동해 온 중국의 고급지속 위협(APT) 행위자입니다. PlushDaemon은 합법적인 소프트웨어 배포 채널을 가로채 악성 페이로드를 전달하는 것으로 악명이 높습니다. 이번 사례에서 이들은 IPany의 소프트웨어 저장소에 접근하여 설치 파일을 변조한 후, 공식 채널을 통해 배포되도록 했습니다. 그들의 전술에는 합법적인 트래픽을 공격자가 통제하는 서버로 리디렉션하여 악성 업데이트를 배포하는 것이 포함되는데, 이는 전형적인 공급망 침해 수법입니다.
중국은 미국과 그 동맹국들을 대상으로 지속적인 사이버 스파이 활동에 관여하는 다수의 활동적인 APT 그룹을 보유하고 있습니다. 최근 중국 APT 그룹인 Salt Typhoon이 미국 광대역 통신사 네트워크를 침투했지만, 이 조사 과정은 트럼프 전 대통령이 감독하던 사이버 안전 위원회 해임으로 인해 차질을 빚었습니다.
한편, 광범위한 도구 세트와 긴 운영 역사를 가진 새로운 중국 연계 APT 그룹인 PlushDaemon의 출현은 증가하는 사이버 위협을 단적으로 보여줍니다. 전문가들은 조직들이 점점 더 정교해지는 악성 활동에 대해 지속적으로 경계 태세를 유지할 것을 촉구합니다. IPany 사태는 심지어 광범위하게 신뢰받는 제공업체라 할지라도 사이버 공격에 취약할 수 있음을 경고하는 냉철한 사례이며, 선제적인 보안 접근 방식이 필수적임을 시사합니다.