가상화폐 하드웨어 지갑 제조업체 ‘레저(Ledger)’가 공급망 사이버 공격을 당해 60만 달러 이상의 가상 자산을 도난당하는 충격적인 사건이 최근 발생했다.
이 회사는 이번에 암호화폐와 대체불가토큰(NFT)을 탈취하는 자바스크립트 월렛 드레인이 발견됨에 따라 사용자들에게 웹3.0 디앱을 사용하지 말 것을 당부했다.
Ledger의 공식 발표에 따르면 이번 침해는 전직 직원이 피싱 공격을 당해 시작되었다고 한다. 이로인해 레저의 npm 계정에 대한 무단 액세스 권한이 부여되었고, 공격자들은 1.1.5, 1.1.6, 1.1.7 버전 등 세 가지 악성 버전의 커넥트 키트 모듈을 업로드했다.
보안 전문가들에 의해 크립토 드레인 멀웨어로 분류된 이 인젝션 코드는 다각도로 접근했다.
1.1.7 버전은 지갑을 탈취하는 페이로드를 직접 삽입해 승인되지 않은 거래를 실행해 디지털 자산을 공격자가 제어하는 지갑으로 전송했지만, 1.1.5와 1.1.6 버전은 다른 경로를 사용했다. 이 버전들은 연결된 지갑에서 자금을 빼낼 수 있는 암호화폐 배출기 역할을 하는 보조 npm 패키지(2e6d5f64604be31)를 다운로드하도록 수정되었다.
피해자의 소프트웨어에 설치된 이 멀웨어는 사용자에게 사기성 모달 프롬프트를 표시해 지갑 연결을 유도했다. 사용자가 상호 작용하면 이 악성코드는 연결된 지갑에서 무단으로 자금을 이체하기 시작했다.
악성 파일은 약 5시간 동안 활동한 것으로 추정되며, 실제 자금이 유출된 익스플로잇 기간은 2시간 미만인 것으로 알려졌다. 레저는 발견 즉시 신속하게 대응하여 손상된 세 가지 버전을 모두 제거하고 문제를 완화하기 위해 1.1.8 버전을 출시했다.
그러나 이 사건의 파급 효과는 레저를 넘어 Revoke.cash와 같은 기업에도 영향을 미쳤다. 이 사건은 레저의 배포 시스템에 2단계 인증(2FA) 보호 기능이 없어 공격자가 악성 소프트웨어를 게시할 수 있게 된 것이다.
레저 침해사고는 고립된 사건이 아니라 오픈소스 생태계가 점점 더 표적이 되고 있다는 것을 보여준 사례다. 개발 라이프사이클에 필수적인 npm과 같은 소프트웨어 레지스트리는 공급망 공격을 통해 멀웨어를 설치하는 벡터로 악용되고 있다.
보안전문가들은 “암호화폐 분야는 보안 조치의 우선순위를 정하고, 강력한 인증 프로토콜을 구현하며, 사이버 보안에 대한 인식 문화를 강화해야 한다. 레저 공급망 침해는 업계 전반의 보안 관행을 다시 한번 생각하고 새로운 사이버 위협을 막기 위한 지속적인 경계와 협력을 강화해 나가야 한다”고 강조했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★