[디지털투데이 황치규 기자]가상 드라이브 유틸리티 데몬 툴즈(Daemon Tools) 공식 웹사이트에서 악성코드 인스톨러(trojanized installers)가 배포되는 공급망 공격이 발생했다.

테크진 등에 따르면 카스퍼스키 글로벌 연구분석팀(GReAT)에 따르면 악성 인스톨러는 8일(현지시간)부터 데몬툴즈 공식 공급 업체 웹사이트를 통해 직접 배포됐으며 약 한 달간 탐지되지 않았다. 피해를 입은 데몬 툴즈 버전은 12.5.0.2421부터 12.5.0.2434까지다. 

세 개 핵심 실행 파일이 변조돼 기기 시작 시마다 백도어가 활성화됐다.  가상 드라이브 유틸리티는 일반적으로 높은 수준으로 관리자 권한이 부여되기 때문에 악성코드가 운영체제 깊숙이 자리잡을 수 있었다. 

카스퍼스키에 따르면 100개국 이상에서 수천 건 감염 시도를 기록했다. 피해 시스템 10%는 기업 소속이다. 대부분 시스템에는 MAC 주소, 호스트명, 실행 중인 프로세스, 설치 소프트웨어, 언어 설정 등을 수집하는 정보 수집 페이로드(악성코드 핵심 기능)만 배포됐다.

러시아, 벨라루스, 태국 소매, 과학, 정부, 제조 분야 기관들 소속 10여 대 기기에는 공격자들이 셸코드 인젝터와 기존에 알려지지 않은 원격 접근 툴(RAT)들을 수동으로 배포했다. 

카스퍼스키 수석 보안 연구원 게오르기 쿠체린(Georgy Kucherin)은 "공식 벤더에서 직접 내려받은 디지털 서명 소프트웨어를 사용자들이 암묵적으로 신뢰하기 때문에 이런 공격은 전통적인 경계 방어를 우회한다"고 말했다. 카스퍼스키는 이번 사건이 2023년 3CX 공급망 공격과 유사하게 약 한 달간 탐지되지 않았다고 지적했다.

이번 데몬 툴즈 사건은 카스퍼스키가 2026년에만 파악한 네 번째 공급망 침해 사고다. 카스퍼스키 텔레메트리에 따르면 2025년 말 기준 오픈소스 프로젝트에서 발견된 악성 패키지는 약 1만9500개로 전년 대비 37% 늘었다.

데몬 툴즈 개발사 AVB 디스크 소프트(AVB Disc Soft)는 악성코드 관련해 이미 통보를 받았다 카스퍼스키는 악성코드가 삽입된 설치 파일을 탐지해 실행을 차단하고 있다며데몬 툴즈를 설치한 기기는 격리하고 8일 이후 비정상 활동을 점검할 것을 권고했다. 

• 역대급 불장 신호탄…비트코인 독주 속 알트코인 낙수효과 터졌다
• XRP, 장기 시총 5000억달러 초강세 전망…비트·이더 역전 노린다
• 비트코인, 8만5000달러 돌파 시험대…핵심 지표 나왔다
• 비트코인 8만1000달러 아래로 후퇴…200일선 돌파 문턱서 제동
• 비트코인 숨 고르기 속 알트코인 강세…옵션 시장은 강세 베팅