북한 해커 공격에 美 수천개 기업 비상!... CNN 긴급 보도

[최보식의언론=최영은 인턴기자]

북한 연계 해커들이 미국 수천 개 기업이 사용하는 오픈소스 소프트웨어 ‘Axios’ 개발자 계정을 해킹해서 악성 업데이트를 배포한 공급망 공격이 발생했다고 미국 CNN이 1일 보도했다.

CNN은 ‘North Korean hackers bug software used by thousands of US companies in potential crypto heist attempt’(북한 해커들, 수천 개 美 기업이 사용하는 소프트웨어에 악성코드 삽입…암호화폐 탈취 시도 가능성)이라는 제목의 기사에서 “전문가들은 북한이 해킹을 통해 기업 시스템 접근 권한을 확보한 뒤 암호화폐를 탈취해 핵·미사일 개발 자금으로 활용하려는 장기 작전을 벌일 가능성이 크다고 본다”며 “보안업계는 피해 파악과 복구에 수개월이 걸릴 것으로 보고 있다”고 전했다. 

CNN은 "31일 오전 약 3시간 동안 평양과 연계된 해커들은 오픈소스 소프트웨어 ‘Axios’를 관리하는 한 소프트웨어 개발자의 계정에 접근했다"며 "해커들은 이 권한을 이용해, 그 시간 동안 해당 소프트웨어를 내려받은 모든 조직에 악성 업데이트를 배포했다"고 보도했다. 

CNN은 "이번 사건은 북한이 배후로 지목된 공급망 공격 중 가장 최근 사례일 뿐"이라며 "3년 전에도 북한 공작원들은 의료 기업과 호텔 체인들이 음성·영상 통화에 사용하던 또 다른 인기 소프트웨어 제공업체에 침투한 것으로 알려졌다"고 했다.

다음은 CNN의 해당 기사 전문이다. (편집자)

미국 수천 개 기업이 사용하는 한 소프트웨어 패키지에 북한 연계로 의심되는 해커들이 악성코드를 심는 공급망 공격을 감행했으며, 이로 인한 피해 복구에는 수개월이 걸릴 수 있다고 보안 전문가들이 31일(현지시간) 밝혔다.

이번 해킹에 대응 중인 전문가들은, 북한 정권의 자금줄 확보를 위해 암호화폐를 탈취하려는 장기적 작전이 전개될 가능성이 크다고 말했다. 북한은 이처럼 탈취한 자금을 핵 및 미사일 프로그램에 자주 사용하는 것으로 알려져 있다.

이번 공격에서 평양과 연계된 해커들은 오픈소스 소프트웨어 ‘Axios’를 관리하는 한 소프트웨어 개발자의 계정에 31일 오전 약 3시간 동안 접근했다.

해커들은 이 권한을 이용해, 그 시간 동안 해당 소프트웨어를 내려받은 모든 조직에 악성 업데이트를 배포했다. 이에 따라 해당 개발자는 계정 통제권을 되찾기 위해 긴급 대응에 나섰고, 미국 전역의 사이버보안 책임자들도 피해 규모를 파악하느라 분주한 상황에 놓였다.

Axios는 의료부터 금융에 이르기까지 거의 모든 산업 분야의 기업들이 웹사이트를 구축·관리하는 과정을 단순화하기 위해 사용하는 소프트웨어다. 일부 암호화폐 기업들도 이 소프트웨어를 사용하고 있으며, 암호화폐 산업에 적극적인 기술 기업들 역시 포함된다.

구글 산하 사이버 위협 정보 기업 맨디언트(Mandiant)는 이번 공격의 배후로 북한 해킹 조직이 유력하다고 밝혔다.

맨디언트의 최고기술책임자(CTO) 찰스 카마칼(Charles Carmakal)은 CNN에 “이들은 이번 소프트웨어 공급망 공격을 통해 최근 확보한 자격 증명과 시스템 접근 권한을 활용해 기업들을 겨냥하고, 암호화폐를 탈취하려 할 것으로 예상한다”며 “이번 작전이 초래할 하위 단계의 피해를 평가하는 데는 수개월이 걸릴 가능성이 크다”고 말했다.

보안업체 헌트리스(Huntress)의 연구원 존 해먼드(John Hammond)는 자사 분석 결과, 약 12개 기업에 속한 135대가량의 기기가 이미 침해된 것으로 확인됐다고 밝혔다. 다만 그는 이것이 전체 피해 규모의 극히 일부분에 불과하며, 각 조직이 뒤늦게 침해 사실을 인지함에 따라 피해 기업 수는 급증할 가능성이 높다고 덧붙였다.

이번 사건은 북한이 배후로 지목된 공급망 공격 중 가장 최근 사례일 뿐이다. 3년 전에도 북한 공작원들은 의료 기업과 호텔 체인들이 음성·영상 통화에 사용하던 또 다른 인기 소프트웨어 제공업체에 침투한 것으로 알려졌다.

강력한 북한 해킹 조직은 핵무기를 보유한 동시에 국제 제재에 시달리는 북한 정권의 핵심 수입원 가운데 하나다. 유엔과 민간 보안업체들의 보고서에 따르면, 북한 해커들은 최근 수년간 은행과 암호화폐 기업들로부터 수십억 달러를 탈취해 왔다.

백악관 관계자는 2023년, 북한 미사일 프로그램 자금의 약 절반이 이 같은 디지털 강탈 행위를 통해 조달됐다고 밝힌 바 있다.

또한 지난해 북한 해커들은 단일 공격으로 15억 달러 규모의 암호화폐를 탈취했으며, 이는 당시 기준으로 사상 최대 규모의 암호화폐 해킹 사건이었다.

구글 산하 보안업체 위즈(Wiz)의 전략 위협 정보 담당 이사 벤 리드(Ben Read)는 “북한은 자국의 평판이나 결국 자신들이 특정될 가능성에 대해 크게 신경 쓰지 않는다”며 “따라서 이런 작전은 매우 요란하고 세간의 주목을 끌 수밖에 없지만, 그 정도 대가는 북한이 충분히 감수할 의사가 있는 비용”이라고 말했다.

해먼드는 이번 공격이 “완벽한 타이밍에 이뤄졌다”고 평가했다. 그는 기업들이 검토나 안전장치 없이 소프트웨어를 개발하는 AI 에이전트를 도입하고 있는 상황을 그 이유로 들었다.

그는 CNN에 “오늘날 너무 많은 사람들이 더 이상 소프트웨어의 ‘재료’에 무엇이 들어가는지 읽어보지 않는 시대가 되면서, 소프트웨어 공급망의 가장 큰 약점은 사실상 활짝 열린 문이 됐다”고 말했다.

<기사 원문>

Suspected North Korean hackers have bugged a software package that has been used by thousands of US companies in a major supply-chain attack that could take months to recover from, security experts said Tuesday.

Experts who are responding to the hack told CNN they expect a long-term campaign to steal cryptocurrency to fund the North Korean regime, which often spends such stolen money on its nuclear and missile programs.

For three hours on Tuesday morning, the Pyongyang-linked hackers had access to the account of a software developer who manages the open-source software known as Axios. The hackers used that access to send malicious updates to any organization that downloaded the software during that time, setting off a scramble by the software developer to regain control of his account and by cybersecurity executives across the country to assess the damage.

Companies in just about every sector of the economy, from health care to finance, use Axios to simplify building and managing their websites. Some cryptocurrency firms use the software, as do tech firms active in the crypto industry.

Mandiant, a cyber-intelligence firmed owned by Google, said that a suspected North Korean hacking group was responsible.

"We anticipate they will try to leverage the credentials and system access they recently obtained in this software supply chain attack to target and steal cryptocurrency from enterprises," Charles Carmakal, Mandiant's chief technology officer, told CNN. "It will likely take months to assess the downstream impact of this campaign.

John Hammond, a security researcher at Huntress, said his firm has identified about 135 compromised devices belonging to roughly 12 companies. But that is just a small snapshot of the pool of victims that is expected to surge as organizations discover they were hacked.

It 's only the latest sweeping supply-chain attack attributed to Pyongyang. Three years ago, North Korean operatives allegedly infiltrated another popular software provider that healthcare firms and hotel chains used for voice and video calls.

North Korea's formidable hacking corps is an essential source of revenue for the nuclear-armed, sanctions-battered country. North Korean hackers have stolen billions of dollars from banks and cryptocurrency firms in the last several years, according to reports from the United Nations and private firms.

About half of North Korea's missile program has been funded by such digital heists, a White House official said in 2023.

Last year, North Korean hackers stole $1.5 billion in cryptocurrency in a single attack in what was then the largest crypto hack on record.

 "North Korea isn't worried about its reputation or being eventually identified, so while these types of operations are very noisy and high profile, that's a price they're willing to pay," said Ben Read, director of strategic threat intelligence at security firm Wiz, which is also owned by Google.

Hammond described the hack as "perfectly timed," given the adoption of AI agents that develop software at organizations "without any review or guardrails."

 "The whole software supply chain's biggest weakness has an open door in today's era where too many people don't read what gets put in the ingredients anymore," Hammond told CNN.

About half of North Korea's missile program has been funded by such digital heists, a White House official said in 2023.

Last year, North Korean hackers stole $1.5 billion in cryptocurrency in a single attack in what was then the largest crypto hack on record.

 "North Korea isn't worried about its reputation or being eventually identified, so while these types of operations are very noisy and high profile, that's a price they're willing to pay," said Ben Read, director of strategic threat intelligence at security firm Wiz, which is also owned by Google.

Hammond described the hack as "perfectly timed," given the adoption of AI agents that develop software at organizations "without any review or guardrails."

 "The whole software supply chain's biggest weakness has an open door in today's era where too many people don't read what gets put in the ingredients anymore," Hammond told CNN.

#북한해커 #암호화폐해킹 #사이버전쟁