[디지털데일리 최민지기자] 최근 액티브X 취약점을 통해 대북 관련 웹사이트 등에 워터링홀 공격을 한 사이버범죄자가 삼성SDS ‘에이큐브(Acube)’ 그룹웨어 솔루션을 악용한 것으로 드러났다.

이에 삼성SDS(대표 홍원표)는 한국인터넷진흥원(KISA)을 통해 지난 28일 보안 업데이트를 권고하고, 에이큐브 제품에서 임의코드 실행 등의 취약점에 대한 보안패치를 발표했다.

보안업계에서는 이번 위협을 라자루스(Lazarus) 공격 그룹의 하위그룹인 안다리엘(Andariel Group) 소행으로 추정하고 있다. 라자루스는 북한 배후 조직으로 알려져 있다.

안랩 시큐리티대응센터(ASEC) 분석연구팀의 ‘안다리엘 그룹 동향보고서’에 따르면 안다리엘 그룹의 주요 공격 대상은 군사기관, 방위산업체, 정치 기구, 금융, 가상화폐 거래소 이용자 등 다양하다. 주요 공격방법은 매크로를 이용한 스피어피싱, 액티브X 취약점을 이용한 워터링홀, 보안 및 IT 자산관리 시스템 취약점 공격, 공급망 공격 등이다.

특히, 이 위협그룹은 외부 백도어뿐 아니라 자체 개발한 백도어도 사용하고 있으며 한국어에 능통하다.

보안업계에 따르면 지난달 말부터 이달까지 대북 관련 연구소와 웹사이트 등을 대상으로 한 공격이 집중 포착됐다. 안다리엘 그룹 소행으로 추정되는 공격자는 삼성SDS ‘에이큐브’를 포함한 약 9곳의 액티브X 취약점을 악용했고, 워터링홀 공격으로 정보를 수집하려고 했다.

워터링홀 공격 기법은 공격자가 공격 대상이 방문할 만한 웹사이트를 해킹해 취약점 공격 코드를 숨겨두는 것으로, 공격 대상이 취약한 웹 브라우저를 이용해 해당 웹사이트에 접속하면 악성코드에 감염되는 방식이다. 주로 기밀정보를 빼내기 위해 사용되는 공격으로, 이번에도 정보 수집에 무게를 두고 있다.

KISA 관계자는 “이 공격에서 제로데이 취약점이 발견되기는 했으나, 실제로 공격자가 이번에 사용했는지는 불분명하다”며 “이 제로데이 취약점까지 가능성에 두고 보안패치를 제공한 것으로 알고 있다”고 설명했다.

삼성SDS 에이큐브는 가장 최근에 악용된 액티브X 취약점이다. 공격자는 해당 취약점을 이용해 악성코드 감염, PC 부팅 오류·불가 등의 피해를 발생시킬 수 있다. 영향을 받는 제품은 ‘AcubeFileCtrl.ocx 2.3.0.4’ 미만 버전으로, 업데이트를 통해 최신 버전으로 설치해야 한다.

에이큐브는 삼성그룹에 사용한 그룹웨어 ‘싱글’에서 출발해 지난 2001년 정식 출시된 그룹웨어 솔루션이다. 에이큐브는 공공기관, 엔터프라이즈 등 다양한 산업부문에 판매돼 왔다.

삼성SDS 측은 “피해사례가 있었던 것은 아니고, 자체적으로 내부 보안검토를 하면서 업데이트를 진행한 것”이라며 “KISA와 금융보안원 등에 보안패치를 공지했고, 각 고객사에게 개별 안내를 통해 보안패치를 권고하고 있다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr