슬로바키아 보안 기업 ESET 파트너 기업이 해킹을 당해 PC 데이터를 삭제하는 멀웨어인 와이퍼에 감염시키려는 목적인 피싱 이메일을 이스라엘 조직에 보냈다는 사실이 밝혀졌다. 해커 정체는 불분명하지만 전문가는 수법이 친 팔레스타인 조직이나 이란 해커 집단과 유사하다고 지적하고 있다.
이번 사이버 공격이 발각된 건 10월 9일 한 사용자가 ESET 공식 포럼에 정부 지원을 받은 공격자가 자신의 PC에 침입하려 한다고 경고하는 수상한 이메일을 받았다고 게시한 게 계기가 됐다.
store@eset.co.li라는 주소에 ‘ESET Advanced Threat Defense Team’으로 위장한 이메일에는 ESET 도메인에서 호스팅된 압축 파일 다운로드 링크가 기재되어 있었다.
사이버 보안 연구원 케빈 보몬트가 이 링크를 검증한 결과 문제의 압축 파일이 실제로 ESET 이스라엘 지사가 소유한 도메인에서 온 것이었다고 한다. 보몬트는 이는 해커가 ESET 방어를 뚫을 수 있었다는 걸 의미한다고 지적했다.
보몬트는 10월 18일 블로그 게시물에서 ESET 스토어와 메일 서버가 사용됐기 때문에 누군가가 침해를 당했다는 게 자신의 견해라며 침해는 1주일 이상 전에 발생했지만 어떤 이유에서인지 공표되지 않았다고 적었다.
압축 파일에 포함된 실행 파일(Setup.exe)에는 멀웨어가 심어져 있어 실행하면 PC 데이터가 삭제된다고 한다.
한편 ESET는 보안 사고 발생에 대해서는 인정했지만 ESET 인프라가 침해됐다는 지적은 부인했다. 언론 문의에 대해 공격을 받은 건 ESET이 아니라 이스라엘에서 ESET 대리점인 컴스큐어(Comsecure)라고 답변했다.
ESET는 SNS 게시물에서 지난주 이스라엘 파트너 기업이 당한 보안 사고를 인지하고 있다며 초기 조사를 바탕으로 제한적인 악의적 이메일 캠페인은 10분 이내에 차단됐다며 ESET 기술이 위협을 차단하고 있으며 자사 고객은 안전하다고 밝히고 ESET는 침해되지 않았으며 파트너와 긴밀히 협력해 추가 조사를 진행하고 있으며 계속해서 상황을 주시하고 있다고 밝혔다.
We are aware of a security incident which affected our partner company in Israel last week. Based on our initial investigation, a limited malicious email campaign was blocked within ten minutes. ESET technology is blocking the threat and our customers are secure. ESET was not…
— ESET Research (@ESETresearch) October 18, 2024
보몬트에 따르면 이번에 확인된 피싱 이메일은 이스라엘 전역 조직 사이버 보안 담당자를 표적으로 한 것이었다고 한다.
사이버 공격을 실행한 공격자가 누구인지는 아직 불명확하지만 공격이 실행된 날짜가 하마스를 포함한 팔레스타인 과격파 조직이 이스라엘에 무력 침공한 지 1년이 되는 10월 7일 다음 날이었다는 점과 데이터 와이퍼를 사용한 수법 등으로 미뤄 보몬트는 친 팔레스타인 그룹 한달라(Handala) 또는 이란과 관련된 해커 집단 사이버투판(CyberToufan)과의 연관성을 시사했다.
한달라는 지난 7월 보안 기업 크라우드스트라이크(CrowdStrike)로 위장한 피싱 공격을 실행하고 범행 성명을 발표한 적이 있다. 관련 내용은 이곳에서 확인할 수 있다.