북한과 연계된 해커들이 오픈소스 소프트웨어 업데이트에 악성 코드를 심어 사용자 로그인 정보 탈취를 시도한 정황이 포착됐다고 구글이 밝혔다.
31일(현지시각) 구글에 따르면 해커들은 앱과 웹 서비스를 연결하는 오픈소스 프로그램 '악시오스(Axios)' 업데이트 과정에 악성 코드를 삽입했다. 해당 소프트웨어는 데이터 전송을 담당하는 핵심 구성요소로, 광범위한 시스템에서 사용되고 있다.
보안 전문가들은 이 악성 코드가 시스템 접근 권한을 확보할 경우 로그인 자격 증명 탈취는 물론 추가 데이터 유출로 이어질 수 있다고 경고했다. 실제로 맥·윈도·리눅스 등 주요 운영체제를 겨냥한 공격 코드가 함께 제작된 것으로 확인됐다.
사이버 보안업체는 이번 공격이 수백만대 시스템에 접근할 수 있는 경로를 확보하려는 시도로 분석했다. 다만 악성 코드가 포함된 프로그램의 구체적인 다운로드 규모는 아직 확인되지 않았다.
문제의 코드는 하루 만에 발견돼 제거됐지만, 이미 일부 시스템에 영향을 미쳤을 가능성은 남아 있는 상황이다.
구글은 이번 공격 배후로 북한 연계 해킹 조직 'UNC1069'를 지목했다. 해당 조직은 2018년부터 활동해온 것으로 추정되며, 암호화폐 및 금융 분야를 주요 표적으로 삼아온 것으로 알려졌다.
구글 측은 북한 해커들이 제재 회피와 자금 확보를 위해 소프트웨어 공급망 공격과 암호화폐 탈취를 지속적으로 시도하고 있다고 설명했다.