[디지털투데이 석대건 기자] 국내 기업의 정보탈취를 목표로 한 공급망 공격(Supply Chain Attack) 정황이 발견됐다. 

보안 솔루션 기업 트렌드마이크로(대표 에바 첸)과 한국의 이슈메이커스랩(IssueMakersLab)는 해커의 공급망 공격 시도를 발견하고, 이를 ‘Operation Red Signature’로 명명했다고 밝혔다.

해커는 원격 지원 솔루션 업체의 업데이트 서버를 해킹한 뒤, 업데이트 프로세스를 통해 ‘9002 RAT’이라 불리는 정보탈취용 악성코드를 해당 기업 고객의 PC에 심었다. 

악성코드는 탈취된 인증서에 서명하는 데 사용했으며, 공격대상 기업의 IP 주소 범위에 있는 경우에만 악성코드를 전송하도록 업데이트 서버를 조작하여 작동 시간을 2주 이내로 제한하는 등 맞춤형 공격을 시도한 것으로 드러났다.

트렌드마이크로 관계자는 “본 공격을 당한 회사의 보안담당자가 연계 위협 방어 시스템으로 침해사실을 인지 및 내부 프로세스를 업데이트시켜 더 큰 피해를 막을 수 있었다”며, “공격자는 특정 업체의 데이터베이스 서버 관리 권한을 탈취하기 위해 접근한 것으로 알고 있다”고 말했다.

한편, 공급망 공격에 대해서 영향을 최소화하려면 ▲ 기업의 자체 온라인 온프레미스의 보안 유지 ▲ 응용프로그램 보안 통제 및 모니터링 ▲ 방화벽 및 침입 탐지 및 방지 시스템 구축 ▲ 네트워크 세분화, 데이터 분류, 시스템 관리 도구 제한 및 애플리케이션 제어 등 최소 권한 부여의 원칙 적용해야 한다고 설명했다.