가상 광학 드라이브 소프트웨어 DAEMON Tools는 4월부터 공급망 공격을 받아 수천 명의 사용자에게 영향을 미쳤습니다

보안 연구원들은 최근 널리 사용되는 가상 광학 드라이브 소프트웨어 DAEMON Tools가 심각한 공급망 공격을 받았다고 밝혔습니다. 공식 설치 프로그램은 2026년 4월 초부터 백도어가 이식되어 공식 채널을 통해 배포되어 전 세계 수천 대의 장치에 영향을 미쳤습니다. 카스퍼스키가 발표한 조사 결과에 따르면, 공격자는 합법적인 설치 패키지에 침입해 공식적으로 디지털 서명된 바이너리 파일에 악성 코드를 주입해 신뢰할 수 있는 소프트웨어 업데이트로 위장한 악성 프로그램이 전달될 수 있도록 했다.

조사에 따르면 이 공격은 2026년 4월 8일에 시작되었으며 여러 버전의 DAEMON Tools(12.5.0.2421 ~ 12.5.0.2434)가 "중독"되었고 변조된 설치 프로그램이 소프트웨어의 공식 웹사이트에서 직접 호스팅되고 개발자 AVB Disc Soft의 유효한 디지털 인증서로 서명되어 사용자가 불신하고 속일 확률이 크게 높아졌습니다. 연구원들은 5월 초 기준으로 공격이 여전히 진행 중이며, 해당 악성 인프라도 여전히 활성화되어 있다고 지적했습니다.

이번 사건에서는 DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe 등 여러 핵심 실행 파일이 수정되고 숨겨진 백도어 로직이 추가되었습니다. 소프트웨어가 설치되면 이러한 구성 요소는 시스템 부팅 시 자동으로 실행되고 외부 명령 및 제어(C2) 서버와 통신을 설정합니다. 또한 공격자는 악성 트래픽을 정상적인 액세스 동작으로 위장하기 위해 공식 DAEMON Tools 사이트 이름과 매우 유사한 도메인 이름을 등록하고 활성화했습니다. 도메인 이름은 공격이 시작되기 며칠 전에 등록되었으며 이는 공격이 신중하게 계획되고 계획되었음을 보여줍니다.

공격링크의 관점에서 본 작전은 분명한 단계적 구조를 보여주었다. 대부분의 피해자 장치에서 시스템은 먼저 MAC 주소, 호스트 이름, 설치된 소프트웨어 목록, 실행 중인 프로세스, 네트워크 구성, 시스템 언어/지역 설정 등 다양한 환경 데이터를 수집하는 데 사용되는 정보 도용 초기 페이로드를 수신합니다. 이 데이터는 공격자가 제어하는 ​​서버에 업로드되며, 감염된 시스템의 가치를 프로파일링하고 평가하여 향후 더 높은 수준의 도구를 출시할지 여부를 결정하는 데 사용될 것으로 추정됩니다. 연구원들은 또한 페이로드에서 일부 중국어 문자열을 발견하여 공격자가 중국 사용자일 수 있음을 암시하지만 아직 공식적이고 명확한 추적 결론은 없습니다.

전 세계적으로 수천 건의 감염 시도가 감지되었지만 실제로 2단계 악성 프로그램이 전달되는 대상 호스트는 소수에 불과합니다. 이러한 "우선순위 대상"은 대부분 정부, 제조, 과학 연구, 소매 등 산업 조직과 연계되어 있습니다. 이러한 제한된 전달과 표적화된 과부하 방식은 이것이 단순한 기회 공격이 아니라 정보 수집이나 전략적 침투를 목적으로 하는 표적 행동에 더 가깝다는 것을 보여줍니다.

확인된 2단계 도구 중에서 연구원들은 랜딩 추적을 줄이기 위해 명령을 실행하고, 파일을 다운로드하고, 악성 코드를 메모리에 직접 로드하여 피해자 시스템에서 실행할 수 있는 최소한의 백도어를 발견했습니다. 적어도 한 번의 성공적인 침해에서 공격자는 QUIC RAT이라는 고급 임플란트도 배포했습니다. 이 악성 프로그램은 HTTP, TCP, DNS, QUIC 등과 같은 여러 통신 프로토콜을 지원하며 notepad.exe와 같은 합법적인 프로세스에 자체 악성 코드를 주입하여 활동 트랙을 더욱 숨길 수 있습니다.

원격 측정 데이터에 따르면 관련 감염 시도가 100개 이상의 국가에서 관찰되었습니다. 영향을 받는 시스템 수가 가장 많은 지역은 러시아, 브라질, 터키, 스페인, 독일, 프랑스, ​​이탈리아 및 중국입니다. 영향을 받은 장치 중 약 10%는 다양한 조직에 속해 있으며, 나머지 대부분은 초기 데이터 수집 단계에만 머물며 더 이상 2단계 페이로드를 수신하지 않습니다.

Kaspersky는 자사의 보안 제품이 의심스러운 PowerShell 기반 다운로드 동작, 임시 디렉터리에서 실행되는 악성 프로그램, 합법적인 프로세스에 코드를 삽입하는 활동, 비정상적인 외부 네트워크 통신 패턴을 식별하는 등 다양한 측면에서 이 공격을 탐지하고 차단할 수 있다고 밝혔습니다. 연구원들은 2026년 4월 8일 이후 DAEMON Tools를 설치한 모든 조직이 관련 시스템에 대한 포괄적인 감사를 수행하여 비정상적인 PowerShell 명령줄 활동과 임시 디렉터리에서 트리거된 의심스러운 실행을 확인하는 데 중점을 둘 것을 권장합니다. 동시에 조직은 제로 트러스트 보안 아키텍처 구현을 우선시하고 임시 디렉터리의 실행 권한을 제한하며 계층화된 방어 전략을 통해 전반적인 보안 탄력성을 향상해야 합니다.

이 DAEMON Tools 공급망 사건은 공격자가 소프트웨어 공급망에 대한 공격 방법을 지속적으로 개선하고, 대규모 배포와 정확한 공격을 결합하고, 합법적이고 신뢰할 수 있는 소프트웨어를 도약판으로 사용하여 다양한 환경에 침투하고 있음을 다시 한 번 보여줍니다. 이러한 추세에 따라 오랫동안 "보안"으로 간주되어 온 일반적으로 사용되는 소프트웨어 도구조차도 잠재적인 위험 원인으로 간주되어야 하며, 조직은 점점 더 복잡해지는 공급망 위협에 대처하기 위해 보다 신중하고 사전 예방적인 보안 전략을 채택해야 합니다.