3CX는 지난달 30일 자사 프로그램이 ‘공급망 공격’ 영향을 받았다고 밝혔으며, 보도에 따르면 미국 사이버보안업체 크라우드스트라이크가 이번 해킹 공격 형태를 분석했다. 그 결과 공격 주체는 높은 확률로 북한 정찰총국 산하 해커조직 라자루스 소속 ‘래버린스 천리마’로 특정됐다는 설명이다.
해커들은 악성코드를 사용해 시스템 정보를 수집하고, 구글·크롬 등 웹브라우저 사용자 정보에 저장된 기록과 아이디, 비밀번호 등을 알아내는 방식을 활용했다. 이 뿐만 아니라 기업 통신망 감시, 조직 내 대화 등 수집·재전송을 통해 피해를 줄 수 있다는 우려도 나온다.
미국 보안업체 볼렉시티 보고서에 따르면 3CX 설치 프로그램이 고객들에게 제공되기 전 이미 악성코드가 삽입된 상태였고, 따라서 공격자는 적어도 지난해 11월 이전부터 3CX 서버에 접근했을 가능성도 있는 상태다.