카스퍼스키 GReAT(글로벌 리서치 및 분석팀)의 연구에 따르면, 이번 공격의 대상은 소프트웨어, IT, 금융, 반도체, 통신 등 한국 내 최소 6개 조직에 이르며, 실제 피해 조직 수는 더 많을 수 있다. 카스퍼스키는 이번 캠페인을 ‘오퍼레이션 싱크홀(Operation SyncHole)’로 명명했다.
카스퍼스키는 또 이번 공격을 조사하는 중 국내에서 널리 사용되는 이노릭스 에이전트(Innorix Agent, 파일 전송 소프트웨어)에서 제로데이(Zero-day) 취약점이 발견했고, 해당 취약점은 즉각 패치됐다고 전했다.
이번 공격에 대한 정보는 싱가포르에서 4월 23일부터 25일까지 3일간 개최되는 IT행사인 ‘자이텍스 아시아(GITEX Asia)’에서 공개됐다.
설명에 따르면 이노릭스 에이전트는 행정 및 금융 시스템 내 보안 파일 전송을 위해 사용되는 브라우저 통합형 서드파티 도구다. 이 취약점을 활용해 공격자는 측면 이동(Lateral Movement)이 가능했고, 추가 악성코드 설치를 진행했다. 최종적으로는 라자루스의 대표 악성코드인 ThreatNeedle과 LPEClient가 내부 네트워크에 배포되어 장악력을 강화했다. 이 취약점은 아가멤논(Agamemnon) 다운로더를 통해 전파되었으며, 이노릭스의 취약 버전인 (9.2.18.496)을 대상으로 했다.
카스퍼스키 GReAT는 악성코드의 행위 분석 중에 임의 파일 다운로드 제로데이 취약점(Arbitrary File Download Zero-day Vulnerability)을 추가로 발견했으며, 이는 실제 공격자가 활용하기 전에 사전 탐지된 것이다. 카스퍼스키는 해당 문제를 한국인터넷진흥원(KrCERT)과 공급사에 신고하였으며, 해당 소프트웨어는 패치 버전으로 업데이트되었다. 해당 취약점은 KVE-2025-0014 식별자로 등록됐다.
카스퍼스키 이효은 한국지사장은 “라자루스는 서드파티 소프트웨어의 취약점을 악용하여 핵심 산업에 대한 정교한 공격을 감행하고 있다. 이는 사이버 보안 위협이 얼마나 고도화될 수 있는지를 보여주는 대표적인 사례다”라고 설명했다.
카스퍼스키 류소준 GReAT 보안 연구원은 “사이버 보안에 대한 선제적 접근이 무엇보다 중요하다. 바로 이러한 접근 덕분에 이번에 악성코드 분석을 통해 기존에 알려지지 않은 취약점을 공격 징후가 나타나기 전에 발견할 수 있었다. 이처럼 조기 탐지는 시스템 전반에 걸친 광범위한 침해를 방지하는 데 핵심적인 역할을 한다”라고 강조했다.
카스퍼스키 이고르 쿠즈네초프 GReAT 디렉터는 “이번 분석 결과는 더 큰 보안 문제를 시사한다. 특히 지역 특화 소프트웨어나 구형 시스템에 의존하는 환경에서는 서드파티 브라우저 플러그인이나 보조 도구들이 공격 표면을 크게 넓힌다. 이런 도구들은 대개 높은 권한으로 실행되고, 메모리에 상주하면서 브라우저와 밀접하게 상호작용하기 때문에, 최신 브라우저보다 공격자들이 노리기에 더 쉽고 매력적인 대상이 되곤 한다”라고 말했다.
[email protected]
Read More from This Article: 카스퍼스키, 북한 라자루스 그룹의 한국 조직 공격 경고 “최소 6곳 이상 노렸다”
Source: News