국내에서 널리 사용되는 이노릭스 에이전트에서 제로데이 취약점이 발견됐고, 즉각 패치
글로벌 사이버 보안 기업인 카스퍼스키는 24일 자사의 글로벌 리서치 및 분석팀(GReAT: Global Research and Analysis Team)이 워터링 홀(Watering Hole, 금융보안 프로그램을 통해 악성코드 설치) 방식과 서드파티 소프트웨어 취약점 악용을 결합한 라자루스 그룹의 고도화된 사이버 공격을 새롭게 발견했다고 밝혔다.
이 공격은 한국 내 다양한 조직을 표적으로 하며, 조사 중 국내에서 널리 사용되는 이노릭스 에이전트(Innorix Agent, 파일 전송 소프트웨어)에서 제로데이(Zero-day) 취약점이 발견됐고, 해당 취약점은 즉각 패치됐다.
이 소식은 싱가포르에서 23일부터 25일까지 3일간 개최되는 IT행사인 '자이텍스 아시아(GITEX Asia)'에서 공개됐으며, 라자루스 그룹이 한국 소프트웨어 생태계에 대한 깊은 이해를 바탕으로 다단계 고도화 사이버 공격을 수행할 수 있음을 보여준다.
카스퍼스키 GReAT의 연구에 따르면, 이번 공격의 대상은 소프트웨어, IT, 금융, 반도체, 통신 등 한국 내 최소 6개 조직에 이르며, 실제 피해 조직 수는 더 많을 수 있다. 카스퍼스키는 이번 캠페인을 "오퍼레이션 싱크홀(Operation SyncHole)"로 명명했다.
라자루스 그룹은 2009년을 전후해 활동을 시작한, 자금과 조직력이 탄탄한 악명 높은 해킹 조직이다. 이번 캠페인에서는 이노릭스 에이전트(Innorix Agent)의 원데이 취약점(One-day Vulnerability, 하루 차이로 공개된 취약점)을 악용한 정황이 포착됐다.
이노릭스 에이전트는 행정 및 금융 시스템 내 보안 파일 전송을 위해 사용되는 브라우저 통합형 서드파티 도구다. 이 취약점을 활용해 공격자는 측면 이동(Lateral Movement)을 가능하게 하고, 추가 악성코드 설치를 진행했다.
최종적으로는 라자루스의 대표 악성코드인 ThreatNeedle과 LPEClient가 내부 네트워크에 배포되어 장악력을 강화했다. 이 취약점은 아가멤논(Agamemnon) 다운로더를 통해 전파됐으며, 이노릭스의 취약 버전인 (9.2.18.496)을 대상으로 했다.
카스퍼스키 GReAT는 악성코드의 행위 분석 중에 임의 파일 다운로드 제로데이 취약점(Arbitrary File Download Zero-day Vulnerability)을 추가로 발견했으며, 이는 실제 공격자가 활용하기 전에 사전 탐지된 것이다.
카스퍼스키는 해당 문제를 한국인터넷진흥원(KrCERT)과 공급사에 신고했으며, 해당 소프트웨어는 패치 버전으로 업데이트됐다. 해당 취약점은 KVE-2025-0014 식별자로 등록됐다.
카스퍼스키 이효은 한국지사장은 "라자루스와 같은 위협은 서드파티 소프트웨어의 취약점을 악용하여 핵심 산업에 대한 정교한 공격을 감행하고 있으며, 이는 사이버 보안 위협이 얼마나 고도화될 수 있는지를 보여주는 대표적인 사례다"라고 설명하며, "우리나라의 과학 기술이 빠르게 발전하고 있는 만큼 정부와 민간 기업은 더욱 긴밀히 협력하여 위협 인텔리전스와 리소스를 공유함으로써 국가적 차원의 디지털 방어를 강화해야 한다"고 강조했다.
또한 "각각의 조직에서도 단순히 취약점을 패치하는 것에서 벗어나 소프트웨어 환경의 보안 상태를 지속적으로 모니터링하고 평가하는 등 보다 적극적인 접근 방식을 채택해야 한다"며 "사이버 보안은 사회 전체의 문제이며, 공중의 보안 의식을 제고하여 안보와 경제 안정을 함께 지켜 나가야 한다"고 덧붙였다.
카스퍼스키 류소준 GReAT 보안 연구원은 "사이버 보안에 대한 선제적 접근이 무엇보다 중요하다. 바로 이러한 접근 덕분에 이번에 악성코드 분석을 통해 기존에 알려지지 않은 취약점을 공격 징후가 나타나기 전에 발견할 수 있었다"며 "이처럼 조기 탐지는 시스템 전반에 걸친 광범위한 침해를 방지하는 데 핵심적인 역할을 한다"고 강조했다.
카스퍼스키 연구진은 이번에 이노릭스 관련 취약점을 발견하기 전에도, 한국을 대상으로 한 후속 공격에서 ThreatNeedle과 SIGNBT 백도어의 변종 사용을 포착한 바 있다.
해당 악성코드는 합법적인 SyncHost.exe 프로세스 메모리 상에서 실행되었으며, 이는 브라우저 환경에서 다양한 보안 도구의 사용을 지원하기 위해 개발된 한국산 정품 소프트웨어인 CrossEX(PC 사용 환경에서도 Non ActiveX, Non NPAPI 환경을 구현)의 하위 프로세스로 작동됐다.
이번 공격에 대한 정밀 분석 결과, 동일한 공격 벡터가 한국 내 5개 이상의 조직에서도 반복적으로 확인됐다. 각 사례에서 감염 사슬은 Cross EX 내의 잠재적 취약점에서 시작된 것으로 보이며, 이는 전체 작전의 시발점 역할을 했을 가능성을 시사한다.
특히, 최근 한국인터넷진흥원(KrCERT)에서 발표한 보안 권고문은 Cross EX 내의 취약점 존재를 공식적으로 인정했고, 이번 조사 기간 중 해당 문제는 패치됐다.
카스퍼스키 이고르 쿠즈네초프 GReAT 디렉터는 "이번 분석 결과는 더 큰 보안 문제를 시사한다"며 "특히 지역 특화 소프트웨어나 구형 시스템에 의존하는 환경에서는 서드파티 브라우저 플러그인이나 보조 도구들이 공격 표면을 크게 넓힌다. 이런 도구들은 대개 높은 권한으로 실행되고, 메모리에 상주하면서 브라우저와 밀접하게 상호작용하기 때문에, 최신 브라우저보다 공격자들이 노리기에 더 쉽고 매력적인 대상이 되곤 한다"고 말했다.
라자루스 그룹은 이번 공격에서 다수 사용자가 자주 방문하는 온라인 미디어 웹사이트를 감염시켜 워터링 홀(Watering Hole) 기법을 활용했다. 공격자는 유입되는 트래픽을 필터링해 관심 대상을 식별하고, 이들을 공격자가 제어하는 웹사이트로 리디렉션하여 일련의 기술적 동작을 통해 공격 체인을 시작했다. 이러한 방식은 라자루스의 정밀하고 전략적인 작전 능력을 잘 보여준다. [파이낸셜신문=임권택 기자 ]
