미국 사이버 보안 기업 파이어아이(FIREEYE)는 해커에게 피해를 볼 위험성이 큰 여러 고객을 보호한다는 점에서 명성을 쌓아왔다. 12월 8일(현지 시각), 파이어아이는 자사가 사이버 공격 피해 대상이 됐다는 사실을 확인했다. 게다가 해커가 일부 공격 툴을 만들었다. 놀라운 소식이지만, 처음 러시아의 해킹 공격이 알려진 것만큼 피해가 심각하지 않다.
파이어아이도 여러 사이버 보안 기업과 마찬가지로 자체 문제 해결 팀 툴을 두고 실제 해킹에서 사용된 수법을 따라 한다. 그리고 실제 해커가 시행했을 방법으로 고객의 디지털 시스템 내 취약점을 찾는다. 파이어아이는 자사가 사용한 방법을 업데이트하고 수정할 수 있다. 문제 대응 차원에서 고객에게 도움을 주면서 실제 국가와 범죄 해킹 툴을 우연히 발견하고 연구했기 때문이다. 그러나 여전히 새로운 해킹 도구를 개발하는 데 투자하는 것과 거리가 멀다. 또한, 미국 국가 안보국(NSA)이 제거할 툴만큼 두려운 대상이 아니다.
파이어아이 CEO 케빈 맨디아(Kevin Mandia)는 블로그를 통해 파이어아이가 최고 수준의 공격 능력을 지닌 국가 차원에서 발생한 해킹의 파장을 다루었다고 밝혔다. 또, 마이크로소프트 등 업계 다른 기업과 함께 미연방수사국(FBI)을 돕고 있다는 점도 함께 전했다. 워싱턴포스트는 12월 8일(현지 시각), 러시아의 SVR 해외정보국(SVR foreign intelligence service)의 책임하에 있는 APT 29 혹은 코지 베어(Cozy Bear)라는 해커 집단이 사이버 공격을 개시했다고 보도했다.
[사진=Pixabay]
파이어아이는 러시아 해커의 개입과 관련해 세계적으로 중요한 역사를 지니고 있다. 파이어아이는 세계 최초로 2015년과 2016년, 러시아 GRU 정보기관의 74455팀(Unit 74455)이 우크라이나의 정전을 일으킨 해커 집단 샌드웜(Sandworm)을 막은 적이 있다. 또, 이듬해에는 무시무시한 피해를 일으키는 멀웨어 노트페트야(NotPetya)를 막았다. 그리고, 2018년 동계 올림픽 보안 파괴 시도는 GRU 74455팀의 소행이라는 대중적인 증거를 세계 최초로 제시했다. 모든 공격은 10월, 미국 기소장에 이름이 작성된 샌드웜 해커 6명이 공개됨과 함께 뒤늦게 알려졌다.
러시아가 미국 대선 기간에 상대적으로 조용했지만, 분명히 보복성 해킹으로 보이는 공격에서 러시아 정부는 자국의 디지털 능력이 여전히 우려를 불러일으킬 정도로 뛰어나다는 사실을 공식 선언했다. 동시에 해킹의 파장은 2017년, 섀도우 브로커즈(Shadow Brokers)라는 의문의 집단이 유출한 NSA의 이터널 블루(Eternal Blue) 툴이나 2015년, 착취 행위를 하는 이탈리아의 해킹 팀의 해킹 공격에 비할 바가 아니다.
미국 사이버 보안 기업 맨디언트(Mandiant)의 수석 보안 관리자 및 파이어아이 문제 대응팀 관리자 직책을 지낸 네트워크 분석 업체 코어라이트(Corelight)의 주요 보안 전략가인 리처드 베티치(Richard Bejtlich)는 위협 정보 데이터와 마찬가지로 “파이어아이와 같은 기업에서 가장 중요한 데이터는 고객 데이터이다. 그다음으로 가장 중요한 데이터는 고객 보호를 위해 활용한 자원과 방법이 담긴 데이터이다”라고 말했다. 그는 “더 나아가 문제를 따라하며 해결하는 보면 문제 해결 툴이 중요하다”라고 덧붙여 전했다.
12월 8일, 파이어아이는 문제 해결 툴이 사용하던 비밀과 패치 설치가 되지 않은 소프트웨어 취약점을 무기화하는 메커니즘인 제로데이 공격에서 도난 피해가 발생하지 않았다고 밝혔다. 모두 특히 위험을 불러일으키는 문제이다. 그런데도 러시아는 문제해결 툴을 사용해, 다른 이들과 공유하거나 데이터를 공개적으로 유출할 수 있다. 파이어아이는 초기에 정부 고객과 관련된 정보를 겨냥한 공격에 중점을 두었으나 해커의 계획이나 범행 동기를 완전히 이해하지 못했다고 밝혔다.
맨디아는 파이어아이가 300가지 이상의 위험 대항 조치를 제공하고 있다고 거듭 강조했다. 모두 러시아가 효율적으로 도난당한 해킹 툴을 사용하기 어렵게 만들기 위한 조치이다. 파이어아이는 이러한 디지털 해결책과 본질적인 감지 메커니즘, 차단 툴을 자사 보안 제품에 포함시켰다. 그리고, 이를 다른 기업과 공유하고 공개적으로 배포했다.
전직 NSA 해커인 데이브 에이텔(Dave Aitel)은 러시아가 가치 있는 툴을 공개적으로 포기한다면, 파이어아이가 보안 조치를 광범위하게 사용할 수 있도록 한 것이 큰 차이를 만들 수 있다고 말한다. 그는 “자사 제품이 유출될 경우 해킹을 감지할 준비가 된 기업 팀은 극소수이다. 따라서 적어도 파이어아이의 조치가 매우 인상적이다”라고 말했다.
전직 NSA 해커 겸 보안 업체 렌디션 인포섹(Rendition Infosec) 창립자인 제이크 윌리엄스(Jake Williams)는 러시아가 도난당한 툴로 해킹 움직임을 위해 보유하지 못한 중요한 요소를 많이 얻지는 못할 것이라고 본다. 그러나 그는 러시아가 공개적으로 도난 제품을 유출하는 것을 대담하게 느낄 수 있다고 지적한다. 미국 사이버사령부(US Cyber Command)가 최근에 이미 더 공격적인 접근 방식을 택해 해커와 그 해킹 툴의 공격 행위를 공개했기 때문이다. 10월 말, 미국 사이버사령부는 공개적으로 러시아의 APT 28과 같은 집단의 소행인 멀웨어 배포가 외교부나 다른 정부 기관 공격에 사용될 수 있다는 점을 공개적으로 자세히 설명했다.
실질적으로 보안 툴에 대한 위협이 중요하지만, 아직 그 피해가 심각하지는 않을 듯하다.
윌리엄스는 “파이어아이 해킹을 우려해야 하는 유일한 이유는 러시아가 해킹 위협 모델의 일부에 이미 개입했을 가능성, 그리고 사이버 공격을 시도했을 가능성이 있는 상황 때문이다. 현재와 같은 상황에 사용할 준비가 된 위협 감지 툴이 필요하다. 그러나 러시아가 공개적으로 툴을 배포했다면, 모두에게 위협이 되는 모델에 포함이 됐을 것이다. 따라서 보안 툴이 중대한 변화를 가져올 것이다”라고 설명했다.
그러나 윌리엄스는 파이어아이의 방어 툴 배포 시작은 러시아가 툴을 전면적으로 포기한다면, 막대한 피해를 일으키려는 특별한 노력보다는 미국 정부에 대한 일종의 승리 세레머니와 공식 선언이 될 것이라는 점에 동의했다.
베티치는 “매우 화가 난다. 그러나 이번 해킹은 우리가 다루어야 할 전체 제로데이 공격과 같은 수준은 아니다”라고 언급했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202012/2660_3663_3215.jpg)
뉴스레터 신청