데몬 툴즈 공급망 공격
사이버 보안 연구원들이 DAEMON Tools 설치 프로그램을 이용한 정교한 공급망 공격을 발견했습니다. 공격자들은 DAEMON Tools 공식 웹사이트를 통해 배포되는 공식 Windows 설치 프로그램을 성공적으로 해킹하여 디지털 서명된 소프트웨어 패키지에 악성 코드를 삽입했습니다. 설치 프로그램에 정식 개발자 인증서가 포함되어 있었기 때문에 악성 코드는 신뢰할 수 있는 것처럼 보였고, 기존의 보안 방어 체계를 쉽게 우회했습니다.
문제가 발생한 설치 프로그램 버전은 12.5.0.2421부터 12.5.0.2434까지였으며, 악성 활동은 2026년 4월 8일부터 시작된 것으로 확인되었습니다. 해당 소프트웨어는 Windows 버전만 영향을 받았으며, Mac 버전은 영향을 받지 않았습니다. 이 사건이 공개된 후, 개발사인 AVB Disc Soft는 악성 기능을 제거하고 보안 취약점을 해결한 버전 12.6.0.2445를 출시했습니다.
목차
합법적인 절차 속에 숨겨진 악성 요소
조사 결과 공격자들이 DAEMON Tools의 핵심 구성 요소 세 가지를 변경한 것으로 드러났습니다.
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
이러한 바이너리 파일 중 하나가 실행될 때마다(일반적으로 시스템 시작 시) 감염된 시스템에 숨겨진 악성 프로그램이 활성화되었습니다. 이 악성 프로그램은 2026년 3월 27일에 등록된 외부 도메인인 env-check.daemontools.cc와 통신하여 Windows cmd.exe 프로세스를 통해 실행되는 셸 명령을 수집했습니다.
다운로드된 명령은 추가적인 악성코드 배포를 촉발하여 공격자가 신뢰할 수 있는 소프트웨어의 동작 속에 숨어 있으면서도 손상된 시스템에 대한 제어권을 확장할 수 있도록 했습니다.
다단계 악성코드 배포 방식, 우려 고조
공격 과정에는 정찰, 지속성 확보 및 원격 제어를 위해 설계된 여러 보조 페이로드가 포함되었습니다. 배포된 파일에는 다음이 포함됩니다.
envchk.exe 는 상세한 시스템 정보를 수집할 수 있는 .NET 기반 정찰 도구입니다.
cdg.exe 및 cdg.tmp 는 파일을 다운로드하고, 셸 명령을 실행하고, 메모리에서 직접 셸코드를 실행할 수 있는 경량 백도어를 복호화하고 실행하는 데 사용되는 구성 요소입니다.
보안 분석가들은 QUIC RAT으로 알려진 원격 접속 트로이목마의 유포도 확인했습니다. 이 악성코드는 HTTP, TCP, UDP, DNS, WSS, QUIC, HTTP/3 등 다양한 명령 및 제어(C2) 통신 방식을 지원합니다. 또한, notepad.exe 및 conhost.exe와 같은 정상적인 Windows 프로세스에 악성 페이로드를 삽입하여 탐지를 훨씬 어렵게 만듭니다.
수천 명이 노출되었지만, 표적이 된 피해자는 일부에 불과했다.
연구진은 러시아, 브라질, 터키, 독일, 프랑스, 이탈리아, 스페인, 중국을 포함한 100여 개국에서 손상된 설치 프로그램과 관련된 수천 건의 감염 시도를 관찰했습니다. 감염 범위가 광범위함에도 불구하고, 고도화된 백도어 페이로드를 받은 시스템은 소수에 불과하여 매우 선택적인 표적 공격 전략을 사용했음을 시사합니다.
후속 악성코드는 러시아, 벨라루스, 태국의 소매, 과학 연구, 정부, 제조 및 교육 분야에서 운영되는 조직에서 발견되었습니다. 특히 러시아의 한 교육 기관을 표적으로 삼은 QUIC RAT 감염 사례가 확인되었습니다.
이러한 선택적 배포는 해당 캠페인이 무차별적인 대량 감염보다는 정밀 표적 공격을 목적으로 설계되었음을 강력하게 시사합니다. 그러나 연구진은 공격자들이 사이버 스파이 활동을 의도했는지, 아니면 금전적 이득을 노린 '대형 목표물 사냥'과 같은 공격을 감행했는지는 아직 밝혀내지 못했습니다.
여러 증거들이 정교한 중국어 구사 능력을 가진 위협 행위자의 존재를 시사하고 있다.
공식적으로 이번 공격과 연관된 것으로 확인된 위협 집단은 없지만, 악성코드 분석 결과 중국어를 사용하는 공격자가 개입했을 가능성이 높습니다. 침입의 복잡성과 공식 유통 채널을 통해 배포된 서명된 소프트웨어를 침해할 수 있었다는 점은 고도의 공격 능력과 장기적인 작전 계획을 보여줍니다.
DAEMON Tools 해킹 사건은 2026년 상반기에 관찰된 소프트웨어 공급망 공격의 증가 추세에 합류하는 사례입니다. 유사한 사건은 앞서 1월의 eScan, 2월의 Notepad++, 그리고 4월의 CPUID에도 발생했습니다.
공급망 공격이 그토록 위험한 이유
공급망 침해는 사용자들이 합법적인 소프트웨어 공급업체에 대해 갖는 내재적인 신뢰를 악용하기 때문에 특히 위험합니다. 공식 웹사이트에서 직접 다운로드하고 유효한 디지털 인증서로 서명된 애플리케이션은 사용자나 보안 제품에서 의심스러운 것으로 간주되는 경우가 드뭅니다.
이 경우 악성 활동이 거의 한 달 동안 탐지되지 않은 것으로 알려졌는데, 이는 공격자들의 정교함과 기존의 경계 기반 보안 방어 체계의 한계를 여실히 보여줍니다. 보안 전문가들은 영향을 받은 DAEMON Tools 버전을 사용하는 조직은 즉시 해당 시스템을 격리하고 포괄적인 위협 탐지 작업을 수행하여 기업 네트워크 내에서 발생할 수 있는 측면 이동이나 추가적인 악성 활동을 파악해야 한다고 강조합니다.
벤더 대응 및 권장 완화 조치
AVB Disc Soft는 이번 보안 침해가 소프트웨어의 Lite 버전에만 국한된 것으로 보인다고 밝혔으며, 사건의 전체 범위와 근본 원인을 파악하기 위해 조사가 진행 중임을 확인했습니다.
해당 기간 동안 DAEMON Tools Lite 버전 12.5.1을 다운로드 또는 설치한 사용자는 즉시 소프트웨어를 제거하고, 신뢰할 수 있는 보안 도구를 사용하여 바이러스 및 엔드포인트 보안 검사를 완벽하게 수행한 후, DAEMON Tools 공식 웹사이트에서 직접 다운로드한 최신 정품 버전을 다시 설치하는 것이 좋습니다.
