공급망 공격으로 PDF편집기에 악성코드 심어
한 PDF 편집기 앱이 공급망 공격(supply chain attack)을 당해 몰래 가상화폐를 채굴하는 악성코드를 퍼뜨리는 데 이용됐다.
PDF 편집기 개발사가 직접 해킹을 당한 것이 아니라, 이 개발사 및 다른 곳에 폰트를 공급하는 제휴사의 클라우드가 해킹 당했다. 따라서 다른 6개의 앱 개발사도 피해를 입었을 가능성이 있지만 확인되지는 않았다.
이 폰트는 msi 파일 형식으로 제공되므로 윈도우가 표적이었으며, UWP 앱(스토어 앱)이 아니라 데스크탑 프로그램을 노린 것임을 알 수 있다.
해커는 여러 개의 msi 파일 중에 아시안 폰트를 설치하는 것 1개만을 변조하여 악성코드를 심었다. 문제의 편집기 사용자 중 아시안 폰트를 설치한 사람만이 감염되는 것이다. 이 편집기 개발사는 비주류여서 피해자가 많지는 않았다.
이 사건의 중요한 교훈 중 하나는 관리자 권한으로 실행되는 앱을 조심해야 한다는 것이다. 설치나 실행시 사용자 계정 컨트롤(UAC)에 의해 경고창이 뜨는 것 말이다. 이것은 시스템 설정에 변경을 가한다는 사실을 확인하는 것인데, 편집기 같은 일반적인 앱은 관리자 권한이 필요없다.
그러나 문제의 PDF 편집기는 관리자 권한을 요구했다. 악의적이거나 무개념이라는 점을 암시한다. 앞서 말했듯 동일한 폰트를 공급받은 개발사가 6개나 더 있었음에도 유독 이 회사만 피해가 확인된 것만 봐도 알 수 있다.
같은 맥락에서 Windows 10 사용자라면 UWP 앱(스토어 앱)을 사용하는 것이 좋다. 이는 제한된 권한만을 갖고, 샌드박스에서 실행되기 때문이다.
공급망 공격은 일단 성공하면 대박이므로 최근 증가하는 추세이다. 해당 프로그램을 사용하는 모든 사람에게 쉽게 악성코드를 감염시킬 수 있기 때문이다. 근본적으로는 개발사가 보안에 철저해야 하지만, 사용자도 프로그램 및 개발사를 선택하는 데 신중해야 한다. 뛰어난 성능도 중요하지만 신뢰성을 더 우선시 해야 한다.
참고 자료
PDF 편집기 개발사가 직접 해킹을 당한 것이 아니라, 이 개발사 및 다른 곳에 폰트를 공급하는 제휴사의 클라우드가 해킹 당했다. 따라서 다른 6개의 앱 개발사도 피해를 입었을 가능성이 있지만 확인되지는 않았다.
이 폰트는 msi 파일 형식으로 제공되므로 윈도우가 표적이었으며, UWP 앱(스토어 앱)이 아니라 데스크탑 프로그램을 노린 것임을 알 수 있다.
해커는 여러 개의 msi 파일 중에 아시안 폰트를 설치하는 것 1개만을 변조하여 악성코드를 심었다. 문제의 편집기 사용자 중 아시안 폰트를 설치한 사람만이 감염되는 것이다. 이 편집기 개발사는 비주류여서 피해자가 많지는 않았다.
이 사건의 중요한 교훈 중 하나는 관리자 권한으로 실행되는 앱을 조심해야 한다는 것이다. 설치나 실행시 사용자 계정 컨트롤(UAC)에 의해 경고창이 뜨는 것 말이다. 이것은 시스템 설정에 변경을 가한다는 사실을 확인하는 것인데, 편집기 같은 일반적인 앱은 관리자 권한이 필요없다.
그러나 문제의 PDF 편집기는 관리자 권한을 요구했다. 악의적이거나 무개념이라는 점을 암시한다. 앞서 말했듯 동일한 폰트를 공급받은 개발사가 6개나 더 있었음에도 유독 이 회사만 피해가 확인된 것만 봐도 알 수 있다.
같은 맥락에서 Windows 10 사용자라면 UWP 앱(스토어 앱)을 사용하는 것이 좋다. 이는 제한된 권한만을 갖고, 샌드박스에서 실행되기 때문이다.
공급망 공격은 일단 성공하면 대박이므로 최근 증가하는 추세이다. 해당 프로그램을 사용하는 모든 사람에게 쉽게 악성코드를 감염시킬 수 있기 때문이다. 근본적으로는 개발사가 보안에 철저해야 하지만, 사용자도 프로그램 및 개발사를 선택하는 데 신중해야 한다. 뛰어난 성능도 중요하지만 신뢰성을 더 우선시 해야 한다.
참고 자료
댓글
댓글 쓰기