[디지털데일리 최민지기자] 국내 게임사 대상 지능형지속위협(APT) 공격 정황이 발견됐다.

안랩 ASEC(AhnLab SEcurity intelligence Center)는 최근 위협 모니터링 중 국내 게임사 대상 공급망 공격 정황을 확인했다고 지난 27일 밝혔다.

공격자는 국내 게임 보안 업체 공격 후 게임 보안 모듈에 악성코드를 삽입했다. 이에 따라 해당 업체 보안 모듈을 사용하는 게임들은 악성코드가 포함된 채로 배포됐다. 게임사 공식 사이트를 통해 게임을 다운로드할 때, 악성코드까지 함께 설치된다는 설명이다.

다만, 제어를 탈취한 공격자는 변조된 보안모듈을 사용하는 게임 사용자 모두를 공격 대상으로 삼지는 않았다. 주로 게임사로 확인된 업체들 대상으로 원격 제어 악성코드를 설치했다.

안랩 ASEC가 확인한 악성코드들은 국내 게임 보안 업체의 유효한 인증서로 서명됐다. 공격자가 악용한 게임 보안 업체 인증서는 적어도 2017년부터 지속적으로 탈취돼 공격에 사용되고 있었다. 공격자가 사용하는 악성코드들과 명령제어(C&C) 주소를 보면 공격은 주로 중국을 기반으로 한 공격자들에 의해 이뤄진 것으로 보인다.

안랩 ASEC는 "악성코드 서명에 사용된 ZxShell은 과거부터 주로 중국 기반의 공격자들이 자주 사용하는 것으로 알려진 오픈 소스 백도어 악성코드"라며 "일부 보고서에 따르면 중국을 기반으로 하는 것으로 알려진 APT27 공격 그룹이 ZxShell 악성코드를 중국 소프트웨어 개발 업체의 유효한 인증서로 서명해 공격에 활용했는데, ASEC 확인 결과 이는 국내 게임 업체의 인증서로 서명된 ZxShell과 실질적으로 동일한 형태"라고 설명했다.

다만, "여기에서 다루는 모든 공격·악성코드가 동일한 공격자의 소행인지 여부나 구체적인 APT 그룹과의 연관성은 확인되지 않는다"고 말했다.

지난달에는 국내 게임 개발 업체 인증서가 'OOO Arena'라는 게임의 런처 프로그램을 서명하는데 사용된 바 있다. 탈취된 인증서들이 다양한 악성코드를 서명하는 데 사용돼 왔으며, 이 외에도 외국 게임 클라이언트를 서명하기 위한 목적도 나타났다. 탈취된 인증서가 다양한 공격자들에 의해 사용되고 있는 가능성이 제기되는 대목이다.

안랩 ASEC가 'OOO Arena' 게임 런처들을 조사한 결과, 국내 게임사의 유효한 인증서를 이용해 서명된 후 유포됐다. 해당 게임 런처는 사용자 이름, 컴퓨터 이름, MAC 주소, IP 주소, 중앙처리장치(CPU), 그래픽처리장치(GPU), 램(RAM), 메인보드 등의 하드웨어·윈도 버전 정보를 공격자 서버에 전송한다.

안랩 ASEC는 "소프트웨어 공급망 공격은 국가 지원을 받는 APT 공격자들뿐 아니라 금전적 수익을 목표로 하는 공격자들의 공격 사례에서도 확인되고 있다"며 "공급망 공격은 성공하게 되면 프로그램을 사용하는 모든 조직과 개인에 영향을 미칠 수 있을 정도로 파급력이 크다"고 전했다.

이어 "전 소프트웨어(SW) 인프라가 대상이 되는 공급망 공격 경우, 모든 단계를 보호하지 않으면 공격이 가능해지기 때문에, 이를 인지하고 방어하는데 어려움이 존재한다"며 "실제 취약점이 공개된 이후에도, 관리자나 개발 업체가 공급망 공격을 인지한 이후에도, 오랜 기간 적절한 조치가 진행되지 못한 사례들이 적지 않다"고 덧붙였다.