구글은 북한과 연계된 해커들이 앱과 웹 서비스를 연결하는 오픈소스 프로그램 악시오스 업데이트에 악성 코드를 삽입해 사용자 정보를 탈취하려 했다고 밝혔다. 해당 공격은 소프트웨어 공급망을 겨냥한 방식으로, 정상 업데이트 과정에 악성 기능을 숨겨 배포하는 수법이 사용된 것으로 분석된다.

악시오스는 웹 브라우저와 서버 간 데이터 전송을 담당하는 핵심 도구로, 다양한 애플리케이션에서 광범위하게 사용된다. 이 때문에 공격이 성공할 경우 로그인 자격 증명 탈취는 물론 추가적인 데이터 유출로 이어질 가능성이 크다는 우려가 제기된다. 전문가들은 해당 코드가 시스템 접근 권한을 확보할 경우 피해 범위가 급격히 확대될 수 있다고 경고했다.

문제의 악성 코드는 배포된 지 하루 만에 발견돼 제거됐지만, 그 사이 얼마나 많은 시스템에 설치됐는지는 확인되지 않았다. 사이버 보안 기업 일래스틱 시큐리티는 공격자가 맥, 윈도, 리눅스 등 주요 운영체제별 악성 프로그램을 모두 제작했다는 점에서 “수백만 대 기기를 겨냥한 공격 인프라를 갖췄다”고 평가했다.

구글은 이번 공격의 배후로 북한 연계 해킹 조직 UNC1069를 지목했다. 이 조직은 최소 2018년부터 활동해온 것으로 추정되며, 주로 암호화폐와 금융 분야를 겨냥한 공격을 지속해왔다.

구글 위협 인텔리전스 부문 분석가 존 헐트퀴스트는 “북한 해커들은 소프트웨어 공격에 높은 숙련도를 보유하고 있으며, 이를 통해 암호화폐를 탈취해왔다”고 밝혔다. 실제로 북한은 국제 제재를 회피하고 자금을 확보하기 위한 수단으로 해킹을 적극 활용해온 것으로 알려져 있다.

이번 사건은 오픈소스 소프트웨어의 구조적 취약성도 다시 부각시켰다. 누구나 코드를 수정하고 배포할 수 있는 특성상, 업데이트 과정이 공격 경로로 악용될 수 있다는 점에서다.

사이버 보안 기업 센티넬원의 톰 헤겔 연구원은 “웹사이트 접속이나 금융 거래 등 일상적인 활동의 상당 부분이 이런 소프트웨어에 의존한다”며 “사용자가 특별한 실수를 하지 않아도 백그라운드에서 공격이 실행될 수 있다”고 지적했다.

전문가들은 이번 사례가 단순한 개별 해킹 사건을 넘어 글로벌 소프트웨어 공급망 전반의 보안 취약성을 보여주는 사례라고 평가하며, 개발자와 기업 모두 업데이트 검증 절차를 강화해야 한다고 강조하고 있다.