[디지털데일리 김보민기자] 개발자들이 사용하는 소프트웨어(SW) 도구를 악용한 사이버 공격이 주목을 받고 있다. 완성품인 SW 애플리케이션을 침투하기 위한 기반 작업으로, 특히 범용성이 높은 도구가 표적이 된 것으로 나타났다.

25일 SK쉴더스 화이트해커 그룹 이큐스트(EQST)에 따르면 최근 공격 표적이 된 SW 도구는 '일렉트론(Electron)'이다. 일렉트론은 웹 기술 만으로 데스크톱 애플리케이션을 개발할 수 있도록 지원하기 때문에, 개발자들 사이에서 인기가 높다. 크로미움(Chromium)와 노드js(Node.js) 기반으로 자바스크립트, HTML, CSS를 이용해 윈도, 맥, 리눅스 등 애플리케이션 개발을 지원할 수 있다.

일렉트론으로 개발된 데스크톱 애플리케이션은 우리 일상에 흔히 사용된다는 공통점이 있다. 대표적으로 스카이프, 노션, 워드프레스, 슬랙, 디스코드가 있다. 화상회의와 업무 협업에 특화된 애플리케이션들로, 응용프로그램인터페이스(API)를 결합하면 기능을 확장할 수 있는 애플리케이션들이다.

그러나 이러한 범용성은 먹잇감으로 떠올랐다. SW 도구 취약점을 악용하면, 추후 완성품인 SW 애플리케이션을 침투하기 용이하기 때문이다. 일렉트론은 웹 기술과 API를 결합해 웹 애플리케이션을 확장시키기 때문에 시스템 자원에 접근하는 민감한 작업이 가능하다. 공격자 입장에서 Node.js 모듈 실행을 제어하고 시스템 콜을 악용하면, 권한 상승과 같은 공격이 가능하다는 의미다.

이와 관련해 EQST는 일렉트론 애플리케이션의 취약점이 원격명령실행(RCE)까지 이어질 수 있다는 점을 주목했다. RCE는 해커가 보안 취약점을 악용해 원격으로 사용자 시스템과 네트워크에 접속해 악성코드를 실행하는 공격 기법을 뜻한다. 이처럼 취약한 버전의 일렉트론을 기반으로 SW가 배포될 시, 사용자 단에서 보안 공격을 당할 수 있다고도 경고했다.

일렉트론 취약점이 주목을 받은 것은 이번이 처음이 아니다.

보안기업 카스퍼스키는 공식 블로그를 통해 "일렉트론 기반 앱 내부에서는 크로미움 웹 브라우저의 별도 인스턴스가 있다"며 "시스템에는 12개 추가 브라우저가 설치됐을 가능성이 있는데, 이러한 환경은 공격자들에게 유혹적인 표적이 될 수 있다"고 말했다. 관련 취약점은 올해만 70여개가 발견된 것으로 집계됐다. 카스퍼스키는 "문제는 취약점에 대한 악용(익스플로잇)이 빠른 속도로 나타난다는 것"이라며 "(SW 도구 공격은) 일상적인 일로 치부하고 그쳐서는 안 된다"고 강조했다.

SW 도구를 겨냥한 공격은 이전부터 이어져 왔다. 대표적으로 2022년에는 대출 앱으로 위장한 정보 탈취 멀웨어들이 유포된 사례가 있었는데, 당시 활용된 주요 도구는 애플리케이션 구축용 프레임워크 '플러터(Flutter)'였다. 플러터는 구글의 오픈소스 프로젝트 중 하나다.

SW 개발 도구 단에서 관련 프레임워크를 인벤토리에 저장하고 업데이트 우선순위를 정하는 것이 관건이 될 전망이다. 카스퍼스키는 "취약점 수보다도 얼마나 빠르게 패치가 나오는지, 그리고 해결책을 찾았는지가 더 중요하다"고 설명했다.

한편 SW 개발 단계에서부터 위협이 발생하고 있는 만큼, 생애주기 전반에서 보안 점검이 필요하다는 목소리가 커지고 있다. 주요국에서 SW 공급망 보안을 핵심 의제로 거론하고 있는 이유다. 미국은 사이버보안인프라보호청(CISA)을 중심으로 SW 개발부터 유통 단계까지 보안 요소를 적용하도록 하는 '시큐어 바이 디자인' 개념을 도입하고 있고, 한국 또한 관련 가이드라인을 배포하며 첫발을 내디뎠다.