에이수스 컴퓨터 100만대 이상 해킹...국내 피해 여부는 ‘아직’

침해사고/위협동향

디지털데일리 발행일 2019-03-26 23:50:57

홍하나

[디지털데일리 홍하나기자] 대만 PC 공급사인 에이수스(ASUS)의 소프트웨어(SW) 업데이트 시스템이 해킹 당하면서 공급망 공격이 발생했다. 종합하면, 5개월간 약 100만대 이상의 에이수스 컴퓨터가 해킹에 노출된 것으로 나타났다. 다만 국내에서는 아직까지 접수된 피해 신고가 없는 것으로 나타났다.

26일 카스퍼스키랩과 다수 외신에 따르면, 100만대 이상의 에이수스 윈도우 컴퓨터가 라이브 업데이트를 통해 감염됐다. 국내 피해 여부는 아직 파악되지 않았다.

한국인터넷진흥원(KISA)은 “현재까지 접수된 피해 신고 건은 없다”면서 “외부 협력채널을 통해 현황파악중이며, 피해유형을 파악해 대응할 예정”이라고 밝혔다.

외신에 따르면, 이번 공격은 지난해 6월부터 11월 사이에 발생한 것으로 예측된다. 보안업체 카스퍼스키랩이 지난 1월 이 공격을 발견했다.

공격자들은 에이수스의 신형 컴퓨터에 설치된 라이브 업데이트 유틸리티를 백도어로 감염시켰다. 라이브 업데이트 유틸리티는 자동으로 애플리케이션, 펌웨어, SW 드라이브 등의 업데이트를 활성화한다. 공격자들은 백도어 감염을 통해 공격을 진행한 뒤 엑세스 권한을 획득했다.

그런 다음 사전에 가지고 있던 600여개의 MAC 주소를 활용해 공격 대상을 특정했다. MAC은 랜카드에 부여된 일종의 주소다. 에이수스 업데이트 서버에 MAC 주소를 올려둔 뒤, 특정 MAC 주소가 발견되면 운영하는 C&C 서버에 악성코드를 다운로드했다.

이후 공격자들은 에이수스의 디지털 인증서를 탈취한 뒤 공식 업데이트 서버에 배포했다. 따라서 에이수스 라이브 업데이트 유틸리티를 활성화한 사용자들이 공격의 영향을 받은 것으로 나타났다.

카스퍼스키랩은 현재까지 약 100만대의 컴퓨터가 공격받은 것으로 추산하고 있다. 다만 공격 목적은 밝혀지지 않았으며, 현재 조사를 진행 중이다.

카스퍼스키랩은 “이 공격은 알려진 벤더사와 모델이 멀웨어로부터 안전하지 않다는 것을 보여준다”며 “타깃 공격은 갈수록 진화하고 있다”고 분석했다.

외신에 따르면, 에이수스는 취약점과 관련해 아직까지 사용자들에게 알리지 않고 있다. 외신 테크크런치는 “공급망 공격은 회사 내부자를 목표로 직접 침투하는 경우가 많기 때문에 적발이 어렵다”고 전했다.

<홍하나 기자>hhn0626@ddaily.co.kr

홍하나

webmaster@ddaily.co.kr

기자의 전체기사 보기