올해만 1조 싹쓸이한 북한 해킹조직, 이번엔 ‘가짜 코드’로 전세계 개발자 낚았다

SW 공식 저장소 ‘npm’서 유명 패키지 베낀 악성 코드 6종 발견
탐지 피하려 ‘다단계 다운로드’ 우회…육안 구별 불가능 수준
과거 국내거래소 해킹 이어…개발 인프라 통째로 노리는 수법 진화

 

[123rf]

[헤럴드경제 이정환 기자] 올해 상반기에만 전 세계에서 1조 원에 달하는 가상자산을 싹쓸이한 북한 해커 조직이 이번엔 소프트웨어(SW) 개발자들의 공식 저장소에 ‘가짜 코드뭉치(패키지)’를 유포한 것으로 드러나 비상이 걸렸다. 유명 코드를 정밀하게 모방해 기업 전체를 해킹하려는 이른바 ‘SW 공급망 공격’이다.

실리콘밸리 소재 글로벌 SW 기업 제이프로그 보안연구소는 자바스크립트 개발자들의 공식 SW 저장소인 ‘npm’에서 유명 코드 뭉치를 정밀하게 베낀 악성 패키지 6종을 발견했다고 4일(현지시간) 밝혔다.

개발자들이 코딩할 때 보편적으로 자주 쓰이는 기능을 공용 저장소에서 내려받아 사용하는 관행을 노렸다. 마치 목수가 가구를 만들 때 규격 못을 철물점에서 사서 쓰는 것처럼, 해커들은 한 달에 120만 건 이상 다운로드되는 유명 코드 뭉치를 그대로 베껴 악성 코드를 살짝 끼워 넣었다.

특히 개발자들이 패키지명을 검색할 때 이름 일부만 입력한다는 점을 교묘하게 악용했다. 정식 명칭인 ‘rollup-plugin-polyfill-node’ 대신 ‘rollup-packages-polyfill-core’나 ‘rollup-runtime-polyfill-core’ 같은 유사한 이름을 사용한 것이다. 안에 포함된 설명서와 홈페이지 주소까지 원본과 똑같이 만들어 육안으로는 구분이 불가능하다.

보안 탐지를 피하기 위한 우회 기능도 치밀했다. 악성코드가 실행되는 위치가 보안 위협을 탐지하는 ‘샌드박스’ 환경임을 인지하면 숨죽여 동작하지 않았고, 핵심 악성코드는 패키지 안에 아예 담지 않은 채 설치·실행 시점에 외부에서 몰래 내려받는 ‘다단계 방식’을 썼다. 이 때문에 패키지 자체만 검사해서는 악성 여부를 가려내기 어렵게 만들었다.

해커들은 일반 인터넷 사용자가 아니라, 기업 시스템을 구축하는 개발자 컴퓨터를 징검다리로 삼았다. 이를 통해 컴퓨터 화면을 감시하거나 통제권을 빼앗고, 최종적으로 기업이 보유한 가상화폐 지갑과 로그인 정보 등을 탈취하려 한 것으로 추정된다.

제이프로그 보안연구소는 이번 공격에 사용된 다단계 구조와 위장 수법이 과거 미국 정부가 북한 연계 해킹 조직으로 규정한 ‘라자루스’의 활동 양상과 일치한다고 설명했다. 라자루스는 김수키·안다리엘과 함께 북한 정찰총국 소속 3대 해킹 조직이다.

실제로 최근 북한 해커 조직의 가상자산 탈취 수법은 전방위로 폭주하고 있다. 블록체인 분석기업 TRM랩스에 따르면, 북한은 올해 상반기에만 전 세계 가상자산 해킹 피해액의 무려 66%에 달하는 약 1조 원(미화 약 7억 달러) 상당의 자산을 탈취한 것으로 나타났다.

이들은 과거 국내 최대 가상자산 거래소에서 이더리움을 탈취한 데 이어, 지난해 11월에도 동일한 수법으로 국내 거래소에서 445억 원 규모의 솔라나 계열 자산을 또다시 해킹해 국제적인 악명을 떨쳤다. 최근에는 단순 코인을 직접 노리는 해킹을 넘어, 이번 npm 사례처럼 기업의 개발 공급망 인프라 자체를 침해하는 방식으로 교묘하게 진화하고 있다.

현재 저장소에 올라온 가짜 패키지 일부는 긴급 제재를 받아 정지된 상태다. 제이프로그 연구소 측은 “북한 해커들의 타깃이 인프라 깊숙이 들어오고 있다”며 “이미 해당 패키지를 설치한 개발자나 기업은 피해 여부를 철저히 확인해야 한다”고 당부했다.

Print Friendly