GitHub 리포지토리를 악용한 대규모 WordPress 자격 증명 유출 사건: 공급망 보안의 허점과 교훈

최근 1년간 진행된 공급망 공격으로 인해 39만 개 이상의 WordPress 자격 증명이 손상되었습니다.

SC World이 공격은 주로 가짜 개념 증명(Proof of Concept, PoC) 익스플로잇을 활용한 피싱 캠페인을 통해 수천 명의 학계 연구자와 보안 전문가를 표적으로 삼았습니다.

 

공격 개요

이 공격은 'MUT-1224'로 명명되었으며, 이는 '신비로운 출처 불명의 위협(Mysterious Unattributed Threat)'의 약자입니다. 전 세계 8억 개 이상의 WordPress 사이트 중 일부에 해당하지만, 침투 테스터와 위협 연구원 등 보안 전문가뿐만 아니라 불법적으로 자격 증명을 취득한 위협 행위자들도 표적으로 삼았다는 점에서 주목할 만합니다.

공격 방법

Datadog Security Labs에 따르면, 공격자는 다음과 같은 방법을 사용했습니다:

• 가짜 PoC 익스플로잇 배포: 공격자는 GitHub에 수십 개의 가짜 PoC 익스플로잇을 포함한 리포지토리를 생성했습니다. 보안 전문가와 레드 팀원, 심지어 다른 위협 행위자들까지도 이러한 리포지토리를 신뢰하고 코드를 다운로드하여 실행함으로써 자신도 모르게 악성 페이로드를 설치하게 되었습니다. 이러한 페이로드는 시스템 정보를 탈취하고 암호화폐 채굴기를 설치하는 등의 기능을 수행했습니다.
• 피싱 캠페인: 동시에, 공격자는 피싱 캠페인을 통해 대상자들에게 가짜 커널 업데이트를 설치하도록 유도했습니다. 이러한 피싱 이메일은 신뢰할 수 있는 출처에서 온 것처럼 가장하여 피해자들이 의심 없이 악성 소프트웨어를 설치하도록 만들었습니다.

피해 규모 및 영향

이 공격으로 인해 수백 명의 피해자가 여전히 침해를 당하고 있으며, SSH 개인 키와 Amazon Web Services(AWS) 액세스 키와 같은 민감한 데이터가 유출되었습니다. 비록 전체 WordPress 사이트 중 일부에 해당하지만, 보안 전문가와 위협 행위자들을 직접적으로 표적으로 삼았다는 점에서 그 심각성이 부각됩니다.

전문가 의견

• Jason Soroko(Sectigo 선임 연구원): "이러한 트로이 목마화된 리포지토리는 신뢰할 수 있는 위협 인텔리전스 피드에 등장하여 더욱 그럴듯하게 보였습니다. 이를 다운로드하고 실행함으로써 피해자들은 자신도 모르게 자신을 감염시켰습니다. 이러한 공급망 공격은 정상적인 소프트웨어 획득 과정을 훼손시켰습니다."
• Itzik Alvas(Entro Security CEO): "공격자는 합법적으로 보이는 이름과 기능을 가진 코드 리포지토리를 생성하여 여러 개발자들이 이를 종속성으로 사용하도록 만들었습니다. 이러한 코드 종속성에는 사용자가 웹사이트에 입력한 비밀번호를 기록하는 트로이 목마화된 패스워드 체커가 포함되어 있었습니다."
• Stephen Kowski(SlashNext Email Security Field CTO): "이러한 공격은 소프트웨어 개발 파이프라인을 직접적으로 겨냥하여 널리 사용되는 라이브러리와 도구를 오염시켰습니다. 설치되면 악성 코드는 수많은 다운스트림 애플리케이션과 시스템으로 확산될 수 있습니다."

예방 조치 및 권장 사항

이러한 공격을 예방하기 위해 보안 전문가들은 다음과 같은 조치를 권장합니다:

1. 코드 검토: 신뢰할 수 있는 출처에서 제공된 코드일지라도 반드시 검토하고 확인하는 절차가 필요합니다.
2. 고급 위협 탐지 도구 활용: 실시간으로 악성 코드 패턴과 의심스러운 동작을 탐지할 수 있는 도구를 활용하여 위험을 줄일 수 있습니다.
3. 자동화된 보안 스캐닝 솔루션 도입: 종속성을 분석하고 잠재적인 위협을 식별할 수 있는 자동화된 보안 스캐닝 솔루션을 통해 소프트웨어 공급망에 위협이 확산되기 전에 이를 차단할 수 있습니다.

결론

이번 공격은 공급망의 취약점을 악용하여 보안 전문가들까지도 표적으로 삼았다는 점에서 그 심각성이 부각됩니다.

소프트웨어 개발 및 보안 커뮤니티는 이러한 위협에 대비하여 더욱 철저한 코드 검토와 보안 절차를 강화해야 할 필요가 있습니다.

 

출처 : 링크