카스퍼스키, 北 ‘라자루스’ 국내 공급망 공격 시도 포착

[아이티데일리] 카스퍼스키(지사장 이효은)는 워터링 홀(Watering Hole) 방식과 서드파티 소프트웨어 취약점 악용을 결합한 북한 라자루스 그룹의 사이버 공격을 새롭게 발견했다고 24일 밝혔다.

이번 공격에서는 이노릭스 에이전트(Innorix Agent)의 원데이(One-day Vulnerability, 하루 차이로 공개된 취약점)을 악용한 정황이 포착됐다. 이노릭스 에이전트는 행정·금융 시스템 내 보안 파일 전송에 쓰이는 브라우저 통합형 서드파티 도구다.

공격자는 취약점을 통해 측면 이동을 진행하고 추가 악성코드를 설치했다. 최종적으로는 라자루스의 대표 악성코드 ‘스레드 니들(ThreatNeedle)’과 ‘LPE클라이언트’가 내부 네트워크에 배포됐다. 이 취약점은 아가멤논(Agamemnon) 다운로더를 통해 전파됐으며, 이노릭스의 취약 버전인 ‘9.2.18.496’을 대상으로 했다.

특히 라자루스는 이번 공격에서 여러 사용자가 방문하는 온라인 미디어 웹사이트를 감염시키는 워터링 홀 기법을 사용했다. 유입 트래픽을 필터링해 관심 대상을 식별하고, 제어 중인 웹사이트로 이동시킨 후 일련의 기술적 동작을 통해 공격을 시작했다.

카스퍼스키의 글로벌 리서치 및 분석팀(GReAT)은 악성코드 분석 중 임의 파일 다운로드 관련 제로데이 취약점을 추가로 발견했다. 카스퍼스키는 해당 문제를 한국인터넷진흥원과 공급사에 신고했다. 소프트웨어는 패치 버전으로 업데이트됐으며 해당 취약점은 ‘KVE-2025-0014’ 식별자로 등록됐다.

카스퍼스키 이효은 한국지사장은 “공격자들은 서드파티 소프트웨어의 취약점을 악용해 정교한 공격을 감행하고 있으며, 이는 사이버 보안 위협이 얼마나 고도화될 수 있는지를 보여주는 대표 사례”라고 말했다.

이어 이효은 지사장은 “정부와 기업은 위협 인텔리전스와 리소스를 공유함으로써 국가적 차원의 디지털 방어를 강화해야 한다. 각 조직에서도 단순한 취약점 패치를 넘어 소프트웨어 보안을 지속적으로 모니터링하는 등 적극적인 접근 방식을 채택해야 한다”고 강조했다.

카스퍼스키 류소준 GReAT 보안 연구원은 “사이버 보안에 대한 선제적 접근이 무엇보다 중요하다”며 “이러한 접근 덕분에 이번에 악성코드 분석을 통해 기존에 알려지지 않은 취약점을 공격 징후가 나타나기 전에 발견할 수 있었다”고 설명했다.