[아이티데일리] 카스퍼스키랩은 전 세계 수백 개의 대기업이 사용하는 서버 관리 소프트웨어 제품에 백도어가 설치돼있음을 최근 발견했다고 24일 밝혔다.

이 백도어는 공격자가 추가로 악성 모듈을 다운로드하거나 데이터를 훔치는 발판으로 사용된다. 카스퍼스키랩은 피해 소프트웨어 공급업체인 넷사랑(NetSarang)에 백도어에 대해 통보했고, 해당 업체 측에서는 악성 코드를 신속히 제거한 후 고객에게 업데이트를 배포했다.

서버 관리 프로그램에 백도어를 심는 섀도우패드 공격은 최대 규모의 공급망 공격 중 하나로 알려졌다. 이번 공격은 신속히 탐지해 조치한 덕분에 전 세계의 수많은 기관이 공격 표적이 되는 사고를 방지할 수 있었다.

카스퍼스키랩의 심층 조사 결과 해당 소프트웨어의 최신 버전 내부에 악성 모듈이 숨겨져 있었고, 이 악성 모듈이 의심스러운 요청을 발송한 것으로 드러났다. 해커의 지시에 따라 백도어 플랫폼이 악성 코드를 추가로 다운로드하고 실행할 수 있는 것이다. 문제를 밝혀낸 직후 카스퍼스키랩 연구진은 넷사랑 측에 연락을 취했고, 넷사랑 또한 신속히 대응해 악성 코드를 제거한 업데이트 버전을 내놓았다.

카스퍼스키랩 연구진은 이 악성 모듈이 지금껏 홍콩에서 활성화됐지만 다른 지역의 여러 시스템에도 휴면 상태로 숨어있을 수 있으며, 사용자가 감염된 소프트웨어를 업데이트하지 않았다면 그 가능성이 특히 크다고 보고했다.

박성수 카스퍼스키랩 글로벌 분석연구팀(GReAT) 책임연구원은 “섀도우패드는 공급망 공격이 성공을 거둘 때 얼마나 위험하고 광범위할 수 있는지 잘 보여준다”며, “네트워크 활동을 모니터링하고 이상 징후를 감지할 수 있는 우수한 솔루션이 대기업에게 절실하다는 점을 보여준다”고 말했다.

카스퍼스키랩은 넷사랑의 소프트웨어를 악성 모듈이 제거된 최신 버전으로 즉시 업데이트하고 생소한 도메인으로 DNS 쿼리가 전송되는지 징후를 확인하도록 사용자에게 권고하고 있다. Securelist 블로그 게시물을 통해서는 악성 모듈에 사용되는 커맨드 서버 도메인 목록을 조회할 수 있으며, 백도어 관련 추가 기술 정보도 확인 가능하다.