뉴스34. DAEMON Tools 공급망 공격으로 공식 설치 프로그램이 악성코드에 감염되었습니다.

기사 요약:

전 세계적으로 널리 사용되는 가상 드라이브 소프트웨어인 DAEMON Tools(Windows용)가 공급망 공격을 받았다. 공격자는 개발사의 디지털 서명을 도용해 악성코드가 포함된 설치 프로그램을 공식 홈페이지에서 배포했으며, 감염된 시스템 중 특정 타겟을 선별하여 추가적인 백도어(QUIC RAT 등)를 설치한 고도로 정교한 공격을 감행했다.

 

1. 카스퍼스키 연구팀은 DAEMON Tools의 공식 설치 프로그램이 악성 페이로드를 유포하고 있음을 발견했는데, 개발사(AVB Disc Soft)의 정상적인 디지털 인증서로 서명되어 있어 일반적인 보안 경계 체계를 우회했다. 이 공격은 약 한 달간 감지되지 않은 채 진행되었다.

 

2. Windows용 Lite 버전 12.5.0.2421 ~ 12.5.0.2434. 에 영향을 주며, DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe 이러한 파일들을 변조하였다. 시스템 시작 시 악성 바이너리가 실행되어 C2 서버와 통신하며, 추가 페이로드(envchk.exe, cdg.exe)를 다운로드하여 시스템 정보를 수집하고 원격 제어를 시도했다.

 

3. 전 세계 100여 개국에서 수천 건의 감염 시도가 포착되었으나, 실제 정밀 백도어가 설치된 곳은 12개 호스트에 불과해 표적 공격(Targeted Attack)으로 주 타겟은 러시아, 벨라루스, 태국의 소매, 과학, 정부 및 제조 기관이다. 개발사는 문제를 인지한 후 12시간 이내에 악성 코드가 제거된 버전을 출시했다.

 

개인 의견:

공식 홈페이지에서 다운로드하고 정상적인 서명까지 확인된 소프트웨어가 공격 도구로 쓰였다는 점에서, 이제는 출처가 확실해도 100% 안전한 소프트웨어는 없다는 사실을 뼈저리게 느꼈으며, 개인이 할 수 있는 최선의 방어는 결국 신속한 업데이트와 백신 검사뿐이라는 점을 느꼈다.

 

<용어 정리>

공급망 공격 (Supply Chain Attack): 소프트웨어 개발사의 서버나 배포 과정을 해킹하여 정상적인 프로그램에 악성코드를 숨겨 사용자에게 전달하는 공격 방법

디지털 서명 (Digital Signature): 제작자의 신원을 증명하고 소프트웨어가 변조되지 않았음을 보장하여 사용자가 프로그램을 신뢰하게 만드는 검증 도구

페이로드 (Payload): 전송되는 데이터 중 공격자가 시스템에서 실제로 실행하고자 하는 파괴적인 목적을 가진 악성 코드

C2 서버 (Command and Control Server): 감염된 컴퓨터에 공격자가 명령을 내리거나 탈취한 정보를 전송받기 위해 운영하는 원격 제어 서버

백도어 (Backdoor): 시스템 보안을 우회하여 공격자가 언제든 다시 침투할 수 있도록 몰래 설치해 둔 비밀 통로

RAT (Remote Access Trojan): 감염된 대상의 화면을 보거나 파일을 제어하는 등 원격에서 시스템을 장악하는 원격 접속 도구

QUIC 및 HTTP/3: 보안 장비의 탐지를 피하기 위해 사용된 최신 웹 전송 규격으로, 데이터 전송 속도를 높이면서도 분석을 어렵게 만드는 통신 방법

프로세스 주입 (Process Injection): 정상적인 프로그램(메모장 등)의 메모리 영역에 악성 코드를 삽입하여 실행함으로써 보안 프로그램의 감시를 피하는 은닉 방법

 

뉴스 링크: https://thehackernews.com/2026/05/daemon-tools-supply-chain-attack.html