"클릭 안 해도 털린다"…北 해커, 전 세계 개발자 쓰는 코드 뚫었다 작성일 04-01 30 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">'악시오스' 관리자 계정 탈취…정상 업데이트로 악성코드 유포<br>설치만으로 백도어 실행…비밀번호·클라우드 권한 탈취<br>탈취된 인증정보로 랜섬웨어·가상자산 공격 확산 우려</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="zXiFe4HlaF"> <figure class="figure_frm origin_fig" contents-hash="15afb93093b45b2cfd3d571fbdfb753fdb8bbeed8e4a19ef13d155f8ef824e11" dmcf-pid="qZn3d8XSAt" dmcf-ptype="figure"> <p class="link_figure"><img alt="[서울=뉴시스]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/01/newsis/20260401112550781nyik.jpg" data-org-width="720" dmcf-mid="7OVSKpsAA3" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/01/newsis/20260401112550781nyik.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [서울=뉴시스] </figcaption> </figure> <p contents-hash="d559bbe741b50cffb02b37aabcc5730b4a6881c9138cb94cfee9d89a8aa956ac" dmcf-pid="B5L0J6Zvc1" dmcf-ptype="general"><br> [서울=뉴시스]윤정민 기자 = 북한 연계 해커가 전 세계 개발자들이 사용하는 소프트웨어 부품 '오픈소스 라이브러리'를 해킹해 악성코드를 유포한 정황이 확인됐다. 사용자가 수상한 링크를 클릭하지 않아도 평소 쓰던 앱이나 서비스를 업데이트하는 과정에서 자동으로 감염될 수 있다. 이에 보안 전문가들은 개발 생태계 전반에 각별한 주의를 당부했다.</p> <p contents-hash="ba94f11ff77e567ea5710aa3f8dcfd871e07b6524f3d29a392a3624b6b9a61b7" dmcf-pid="b1opiP5To5" dmcf-ptype="general">31일(현지 시간) 구글 위협 인텔리전스 그룹(GTIG), 스텝시큐리티 등에 따르면 북한 연계 해커 조직 'UNC1069'는 최근 자바스크립트 HTTP 라이브러리 '악시오스(Axios)' 관리자 계정을 탈취해 악성코드를 유포했다.</p> <p contents-hash="6d332199f0ce59f580edb9c7c4e4e08566362468648a6da12e85fe6626e65fe3" dmcf-pid="KtgUnQ1ykZ" dmcf-ptype="general">악시오스는 웹과 모바일 서비스가 서버와 데이터를 주고받을 때 사용하는 대표적인 오픈소스 라이브러리다. 주당 1억건 이상 다운로드될 정도로 많은 개발자가 로그인, 결제, 콘텐츠 로딩 등 대부분 기능에 악시오스를 활용하고 있다.</p> <h3 contents-hash="53b87d3527bfedcd4eda3d74cae8e8a0ee895fac9e2cbd305b621ef4739948ff" dmcf-pid="9FauLxtWaX" dmcf-ptype="h3"><strong>앱 업데이트만 했을 뿐인데 감염됐다</strong></h3> <div contents-hash="80a42dbd078849807ac571821921919b2987d926ae88fa12d23b20c99366fb52" dmcf-pid="23N7oMFYcH" dmcf-ptype="general"> <strong> 해커는 정상적인 업데이트 파일 속에 '실크벨(SILKBELL)'이라는 악성 스크립트를 넣었다. 개발자가 이 라이브러리를 사용하면 앱 설치 과정에서 별도의 사용자 행동 없이 악성코드가 자동 실행된다.<br><br> 이 악성코드는 운영체제에 따라 서로 다른 형태로 작동하는 백도어 '웨이브셰이퍼'를 내려보낸다. 시스템 정보를 수집하고 60초 간격으로 외부 서버와 통신하며 추가 명령을 받아 실행한다.<br><br> 특히 이 악성코드는 실행 이후 스스로 삭제하고 변조된 설정 파일을 정상 상태로 되돌려 흔적을 최소화하는 방식으로 보안 탐지를 피했다.<br><br> 이번 악성 버전은 약 3시간가량만 노출된 뒤 삭제됐다. 하지만 해당 라이브러리 사용자가 많아 실제 실행이 확인될 만큼 파급력이 컸다. 악시오스는 자동화된 개발 환경에서 즉시 설치되는 경우가 많아 짧은 노출만으로도 자동화된 개발 환경을 통해 대규모로 확산될 수 있다는 분석이다.<br><br> </strong> </div> <h3 contents-hash="05e651a48c9024abce1f6a301b5e6679739df610f82a9794c53d8933361bad4a" dmcf-pid="V0jzgR3GNG" dmcf-ptype="h3"><strong><strong>비밀번호·클라우드 권한까지 탈취…2차 공격 대비해야</strong></strong></h3> <div contents-hash="67fc6e0bed9ae18cfbcd071d59404b271c84ffabe8f7b2d7bd317df9b3431813" dmcf-pid="fLtjZvnQNY" dmcf-ptype="general"> <strong> GTIG 등은 이번 공격을 벌인 조직이 과거 사용해 온 악성코드와 인프라를 근거로 북한 연계 조직인 'UNC1069'를 지목했다.<br><br> 또 이번 공격 목적은 시스템 내 인증정보와 자산 탈취라고 분석했다. 악성코드는 감염된 컴퓨터의 사용자 계정, 시스템 정보, 실행 중인 프로세스 등을 수집하며 클라우드 서비스 접속에 사용되는 API 키나 토큰도 탈취 대상이 될 수 있다.<br><br> GTIG는 이번 공격으로 탈취된 인증 정보가 향후 대규모 가상자산 탈취나 기업 대상 랜섬웨어 공격으로 이어질 수 있다고 경고했다.<br><br> 실제로 최근 'TeamPCP(UNC6780)'로 불리는 또 다른 해커 조직은 'LiteLLM' 등 인기 오픈소스 프로젝트를 해킹해 인증정보 탈취 악성코드를 유포한 바 있다. 이들은 이를 통해 수십만개의 비밀 정보를 훔쳐 아마존웹서비스(AWS) 등 주요 클라우드 환경에 침투하고 기업을 대상으로 금전을 요구하는 공격을 이어가고 있는 것으로 파악됐다.<br><br> 이에 GTIG는 개발자들에게 사용 중인 악시오스 버전을 즉시 점검하라고 당부했다. 문제가 된 버전(1.14.1 또는 0.30.4)을 사용했다면 즉시 삭제해야 하며 해당 환경에서 사용된 모든 로그인 토큰과 API 키는 유출된 것으로 간주하고 재발급하는 등 후속 조치를 취해야 한다고 강조했다.<br><br> GTIG 관계자는 "이번 공급망 공격은 하드웨어, 소프트웨어 업데이트에 대해 가지는 원천적인 신뢰를 악용한 위험한 공격 방식"이라며 "피해 기업들은 즉각적인 영향 평가와 시스템 복구를 시작하고 보안 체계를 강화해야 한다"고 밝혔다.<br><br><br><a href="https://www.newsis.com/?ref=chul" target="_blank">☞공감언론 뉴시스</a> alpaca@newsis.com </strong> </div> </section> </div> <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p> 관련자료 이전 [AI 비서 시대]②'에이닷 비즈'로 회의실 예약·보고서 작성 뚝딱 04-01 다음 에콜리안 정선, 관내 학교와 상생 협력 업무협약 체결 04-01 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
