Daemon Tools에 백도어 심었다? 카스퍼스키가 경고한 ‘공급망 공격’의 현실

평소 쓰던 윈도우 유틸리티를 설치했을 뿐인데, 그 순간부터 해커의 발판이 될 수 있다면 어떨까요?
이번엔 디스크 이미지(ISO) 마운트로 유명한 Daemon Tools가 그 출발점이 될 수 있다는 보고가 나왔어요.

1) Daemon Tools 백도어 의혹, 무엇이 문제였나

요약하면, 카스퍼스키(Kaspersky)가 **Daemon Tools 설치 파일에 악성 백도어(backdoor, 몰래 침투해 원격 명령 등을 가능하게 하는 통로)**가 심겼다고 밝혔습니다.
카스퍼스키는 자사 백신이 수집한 전 세계 텔레메트리(보안 탐지 데이터)를 기반으로 수천 대 윈도우 PC를 노리는 “광범위(widespread)” 공격이 진행 중이라고 봤어요.

더 무서운 지점은, 이 백도어가 단순히 ‘감염’에서 끝나는 게 아니라 추가 악성코드 설치로 이어질 수 있는 발사대였다는 점이에요. 즉 “한 번 설치 → 그 뒤에 더 위험한 페이로드(payload, 실제 악성 기능)”로 확장될 가능성이 큽니다. 이런 형태는 개인보다 조직 환경에서 피해가 더 커지는 경우가 많아요.

2) “광범위 + 표적형”이 동시에 보인다는 의미

요약하면, 감염 시도는 대규모인데 실제로는 특정 조직을 골라 추가 침투를 진행한 정황이 잡혔다는 겁니다.
카스퍼스키는 백도어를 통해 소매(retail), 과학(scientific), 제조(manufacturing) 분야와 정부 시스템 등 최소 12대의 컴퓨터에 추가 악성코드를 심었다고 했어요.

또한 표적 조직의 위치가 러시아, 벨라루스, 태국에 있다고 언급됐는데요. 여기서 핵심은 “어느 나라가 타깃이냐”보다, 공격자가 널리 쓰이는 소프트웨어를 이용해 대량 유입을 만들고, 그중 가치 있는 환경을 다시 ‘정밀 타격’하는 전략을 썼다는 점이에요. 요즘 공급망 공격(supply chain attack)의 전형적인 확장 패턴이기도 합니다.

3) 중국어권 해커 그룹 연계 정황과 탐지 타임라인

요약하면, 카스퍼스키는 악성코드 분석을 통해 중국어를 사용하는 그룹과의 연관성을 시사했습니다.
그리고 이 백도어는 4월 8일에 처음 탐지됐다고 해요. 즉 “이미 한참 전부터 돌아가고 있었을 수 있다”는 말이 됩니다.

또 한 가지 중요한 맥락은, 이런 사건에서 ‘누가 했냐’만큼이나 ‘얼마나 오래 유통됐냐’가 피해 규모를 결정한다는 점이에요. 업데이트/설치 파일이 한 번 오염되면, 사용자는 정상 설치라고 믿고 실행해버리기 쉽거든요. 특히 유틸리티류는 개발/테스트/운영 PC에 두루 깔려 있는 경우가 많아, 조직 내 확산 속도도 빨라질 수 있습니다.

4) 개발사 Disc Soft 대응과 “공격이 아직 진행 중”이라는 경고

요약하면, 카스퍼스키는 Disc Soft(Daemon Tools 유지보수사)에 연락했다고 했지만 초기엔 조치 여부가 불명확했고, 공격이 “still active(여전히 진행 중)”일 수 있다고 봤습니다.
이 표현이 의미하는 바는 명확해요. “이미 유포가 끝난 사건”이 아니라, 지금도 누군가는 같은 경로로 악성코드를 심을 수 있다는 가정이 합리적이라는 거죠.

이후 TechCrunch가 개발사에 코멘트를 요청했고, Disc Soft 측은 보고서를 인지했고 조사 중이며 최우선으로 다루고 있다고 답했습니다. 다만 현 단계에서 구체 디테일은 확인해주기 어렵고, 위험을 제거(remediate)하기 위한 조치를 진행 중이라는 입장이에요. 정리하면 “사태 파악 중”이어서 사용자는 스스로 방어 조치를 해야 하는 구간입니다.

5) TechCrunch가 직접 설치 파일 확인… VirusTotal에서 백도어 징후

요약하면, TechCrunch는 Daemon Tools 공식 웹사이트에서 윈도우 설치 파일을 내려받아 온라인 악성코드 스캐너 VirusTotal로 확인했고, 백도어가 포함된 것으로 보이는 징후를 확인했다고 합니다.
이 대목이 중요한 이유는 “출처가 불분명한 토렌트/미러 사이트”가 아니라, 공식 경로에서 받은 파일조차 위험할 수 있다는 공급망 공격의 본질을 보여주기 때문이에요.

기사에서는 macOS 버전이 침해됐는지, 혹은 Disc Soft의 다른 앱도 영향이 있는지는 아직 알 수 없다고 했습니다. 그래서 윈도우 사용자만의 이슈라고 단정하기도 이릅니다. 조직이라면 특정 OS만이 아니라, 배포 경로/서명/업데이트 인프라 전반을 점검하는 쪽이 맞아요.

6) 지금 우리가 할 수 있는 현실적인 점검 시나리오

요약하면, “백신 깔았으니 괜찮다” 수준에서 끝내기보다는, 설치 이력과 의심 징후를 빠르게 확인하는 게 우선이에요. 특히 Daemon Tools를 최근 설치/업데이트했거나 회사 PC에 유틸리티를 자주 깔았다면 더요.

바로 적용 가능한 시나리오는 아래처럼 잡아볼 수 있어요.

• Daemon Tools 최근 설치/업데이트 여부 확인
  최근에 설치했다면 그 시점의 설치 파일이 오염됐을 가능성을 배제하기 어렵습니다. 조직에서는 자산관리(ITAM)나 소프트웨어 인벤토리로 설치 시점을 추적하는 게 좋아요.
• 해당 설치 파일 해시값 검사 + VirusTotal 재확인
  파일 해시(hash, 파일 지문)로 동일 파일인지 확인하고, 다중 엔진 탐지 결과를 보며 의심도를 판단할 수 있어요. 다만 VirusTotal은 “판정 도구”라기보다 “추가 단서”로 보는 게 안전합니다.
• EDR/백신 로그에서 백도어 관련 탐지 이벤트 확인
  카스퍼스키는 자사 텔레메트리를 기반으로 이야기했기 때문에, 보안 제품 경고가 있었다면 이미 흔적이 남아 있을 수 있어요. 의심 행위(외부 C2 통신, 비정상 프로세스 생성 등) 중심으로 보세요.
• 불필요한 유틸리티 정리 + 대체 도구 검토
  디스크 마운트는 윈도우 기본 기능이나 신뢰 가능한 대체 도구로도 가능한 경우가 많아요. 공격 표면(attack surface)을 줄이는 게 장기적으로 가장 확실한 방어입니다.

마무리: “공식 다운로드 = 안전”이라는 가정을 업데이트할 때예요

이번 Daemon Tools 이슈는 한 소프트웨어의 문제가 아니라, 우리가 믿는 설치/업데이트 경로 자체가 공격의 통로가 될 수 있다는 걸 다시 보여줍니다.
개인이라면 “최근 설치한 파일 점검 + 불필요한 도구 제거”만으로도 리스크를 크게 낮출 수 있고, 조직이라면 “공급망 위협을 전제로 한 설치 정책/검증 체계”가 더 중요해져요.

여러분 PC(혹은 회사 PC)에 Daemon Tools가 설치돼 있나요? 있다면 설치 시점과 보안 로그부터 한 번 확인해보는 걸 추천해요.