소프트웨어 업데이트는 전 세계 디지털 환경에서 보안 유지의 핵심 인프라로 자리하고 있다. 운영체제, 보안 패치, 장비 펌웨어 등 대부분의 업데이트 과정은 DNS 기반 이름 해석을 토대로 동작하며, 사용자가 특정 업데이트 서버에 정상적으로 연결할 수 있도록 돕는 중요한 절차다. 그러나 이 구조는 DNS 트래픽이 공격자에게 조작될 경우 업데이트 경로 전체가 변조될 수 있는 구조적 취약점을 가진다. 이러한 취약성은 최근 국가 기반 공격 그룹에 의해 악용되며 공급망 공격의 새로운 전술로 확산되고 있다.

사이버 보안기업 이셋(ESET) 연구진은 중국과 연계된 것으로 알려진 플러시데몬(PlushDaemon) 그룹이 새로운 네트워크 장치 임플란트인 에지스테퍼(EdgeStepper)를 사용해 DNS 요청을 조작하고 소프트웨어 업데이트 트래픽을 완전히 하이재킹하는 공격을 수행하고 있다고 발표했다.

이 임플란트는 라우터와 같은 네트워크 장치에 설치되며, 장치를 거치는 모든 DNS 쿼리를 공격자가 운영하는 악성 DNS 서버로 리디렉션한다. 정상적인 업데이트 요청조차 악성 인프라로 안내해, 공격자가 원하는 다운로더와 백도어를 전 세계 어디에나 배포할 수 있는 구조를 제공한다.

에지스테퍼, 네트워크 장치 침해 후 DNS 조작

ESET 분석에 따르면 플러시데몬은 공격 초기 단계에서 먼저 대상 조직이 사용하는 네트워크 장치를 침해한다. 침해는 장치 소프트웨어 취약점을 악용하거나, 기본 관리자 계정과 같은 잘 알려진 자격증명을 사용하는 방식으로 이루어진다. 장치가 장악되면 공격자는 에지스테퍼 임플란트를 설치해 DNS 응답을 변조한다.

에지스테퍼는 모든 DNS 쿼리를 공격자 통제 하에 있는 외부 DNS 노드로 보내며, 특히 업데이트 관련 도메인이 탐지될 경우 공격자가 설정한 하이재킹 노드의 IP 주소로 응답을 반환한다. 일부 서버는 DNS 노드이자 하이재킹 노드 역할을 동시에 수행하는 것으로 확인되었으며, 이 경우 DNS 서버 자체 IP가 응답으로 반환된다. 이 과정을 통해 공격자는 정상 업데이트 서버와 동일한 형태로 위장한 악성 노드를 전달할 수 있다.

이후 공격 체인은 LittleDaemon, DaemonicLogistics와 같은 다운로더를 설치하고, 최종적으로 슬로우스테퍼(SlowStepper) 백도어를 배치하는 방향으로 진행된다. 슬로우스테퍼는 장기적 스파이 활동을 위해 제작된 맞춤형 백도어 툴킷으로, 명령제어(C2) 통신, 파일 탈취, 시스템 정보 수집 등 다양한 침해 활동을 수행할 수 있다.

슬로우스테퍼, 장기적 스파이 활동 수행

슬로우스테퍼(SlowStepper)는 다중 구성 요소로 이루어진 복합 백도어로, 단일 기능에 국한되지 않고 장기간 잠복하며 정보 수집 및 지속적 통신을 수행할 수 있도록 설계되어 있다. 플러시데몬은 최소 2018년부터 활동한 것으로 분석되며, 동아시아·태평양 지역뿐 아니라 미국 등 여러 국가의 개인과 조직을 겨냥해 공격을 진행해 왔다. 이 그룹은 웹 서버 취약점 악용, 공급망 공격 등 다양한 침투 전략을 사용해 꾸준히 활동 영역을 확대하고 있다.

ESET 연구진은 최근 관찰된 공격에서 플러시데몬이 베이징 소재 대학, 대만 전자 제품 제조사, 자동차 산업 관련 기업, 일본 제조 기업 지사를 대상으로 공격을 전개했다고 밝혔다. 이는 단일 산업에 국한되지 않고 교육·제조·전자·자동차 등 다수 분야를 타깃으로 삼고 있음을 보여준다. 또한 2023년에는 공급망 공격 방식을 활용한 사례가 확인되며 공격 기법의 폭이 확대되고 있음을 보여준다.

공급망 공격과 네트워크 장치 공격 결합...가장 위험한 형태로 진화

라우터와 같은 네트워크 장치 침해는 공격자가 조직 전체의 통신 경로를 통제할 수 있게 한다는 점에서 매우 심각한 보안 위협을 초래한다. 사용자가 의도하지 않아도 업데이트 경로가 자동으로 변조되며, 악성 페이로드가 정상 소프트웨어 형태로 전달될 수 있기 때문이다. 특히 DNS 요청은 대부분 암호화되지 않은 환경에서 처리되는 경우가 많아 공격자가 패킷을 중간에서 변조하기 용이하다.

이번 에지스테퍼 공격은 공급망 공격과 네트워크 장치 공격이 결합된 형태로 진화하고 있음을 보여준다. 이는 감염 확산 속도가 빠르고, 지역·산업·조직 규모와 무관하게 공격을 전개할 수 있어 국가 기반 공격 그룹에 매우 유리한 구조다. 또한 ESET은 에지스테퍼가 여러 인기 중국 소프트웨어 제품의 업데이트를 실제로 하이재킹한 정황을 확인했으며, 이는 많은 사용자 환경에서 공급망 오염 가능성이 존재함을 의미한다.

국내 기업들, 네트워크 장치 보안·업데이트 경로 검증이 반드시 강화돼야

국내 기업·기관·교육기관·연구기관 역시 다양한 네트워크 장치가 광범위하게 사용되고 있어 플러시데몬의 공격에 안전하지 않다.

첫째, 네트워크 장치의 기본 자격증명 방치 문제는 국내에서도 빈번하게 발생하는 보안 취약점이다. 에지스테퍼는 기본 계정이나 취약한 관리자 계정을 악용하기 때문에 한국 조직도 동일한 위험에 노출되어 있다.

둘째, 소프트웨어 업데이트 경로 검증이 미흡한 환경이 많다. 국내 기업은 대부분 자동 업데이트 시스템을 사용하지만 DNS 요청 변조 여부나 업데이트 서버 진위 검증 절차(SA, 코드 서명 검증 등)가 명확히 관리되지 않는 경우가 많다.

셋째, 공급망 공격 취약성이 높다는 점이다. 한국 기업은 글로벌 제조 생태계에 깊게 연결되어 있어, 해외 공급망 오염이 국내 조직 감염으로 확산될 수 있다. 특히 제조·전자·자동차·교육기관 등 플러시데몬이 이미 노린 산업군이 한국에서도 광범위하게 존재한다.

넷째, 라우터·스위치 등 국산·외산 네트워크 장치가 혼재된 환경은 공격자가 장비별 취약점을 악용하기 좋은 구조다. 장비 펌웨어 업데이트 관리, 취약점 패치 주기, 관리자 계정 관리 체계가 강화되어야 한국 기업의 위험을 줄일 수 있다.

이번 이셋 분석은 소프트웨어 업데이트 경로를 노린 DNS 하이재킹 공격이 공급망 침투 전략의 새로운 형태로 자리 잡고 있음을 보여준다. 에지스테퍼와 슬로우스테퍼를 중심으로 한 플러시데몬의 공격 체계는 네트워크 장치를 활용해 전 세계 조직을 정밀하게 침해하는 방식으로 발전했으며, 이는 한국을 포함한 모든 국가에서 주의가 필요한 심각한 보안 위협이다.

한국 기업과 기관은 네트워크 장치 관리 강화, 기본 계정 제거, 업데이트 경로 검증, 공급망 보안 점검 등 대응 체계를 강화해야 할 것으로 보인다.