본문 바로가기 주메뉴 바로가기 검색 바로가기
러시아의 해킹 공격, 얼마나 겉잡을 수 없을 정도로 확산될지 아무도 모른다
상태바
러시아의 해킹 공격, 얼마나 겉잡을 수 없을 정도로 확산될지 아무도 모른다
IT 기업 솔라윈즈의 공급망 해킹 때문에 기업 1만 8,000곳이 코지 베어 공격에 노출됐다.
By LILY HAY NEWMAN, WIRED US

3월 이후로 러시아 해커 집단이 무자비하게 악한 행위를 저질러왔다. 러시아 해커 집단은 악성 코드에 감염된 업데이트 내역을 널리 사용되는 IT 관리 플랫폼에 두면서 미국 상무부, 재무부, 국토안보부는 물론이고 미국 보안 기업 파이어아이(FireEye)까지 공격할 수 있었다. 실제로 어디서 최종적인 해킹 피해가 발견될지 아무도 모른다. 이번 해킹의 특성상, 지난 몇 달간 피해를 본 기업과 기관의 수는 말 그대로 수천 곳에 이른다. 그리고, 이 부분에서부터 상황이 더 나빠진다.

12월 13일(현지 시각), 로이터가 최초로 발견한 이번 해킹은 러시아 해외정보국 SVR 소속 해커 집단의 소행으로 보인다. 이러한 해킹 공격은 주로 APT 29 혹은 코지베어(Cozy Bear)로 분류됐다. 그러나 해킹 대응 담당자들은 여전히 러시아 군대 해킹 부대 내에서 정확한 해킹 발생 근원을 찾으려 한다. 여러 보안 문제가 미국 IT 인프라스트럭처 및 네트워크 관리 기업인 솔라윈즈(SolarWinds)에서 시작된 사실이 발견됐다. 현재 솔라윈즈는 미국 정부와 여러 방위산업체, 그리고 포춘지 선정 500대 기업 다수를 상대로 서비스를 제공하고 있다. 솔라윈즈는 12월 13일에 발표한 공식 성명을 통해 해커가 올해 3월부터 6월까지 배포된 네트워크 감시 툴 ‘오리온(Orion)’의 버전을 변경했다고 밝혔다.

솔라윈즈는 공식 성명서에 “솔라윈즈는 이번 해킹이 해외 기관에서 발생했을 수 있다는 사실을 전달받았다. 또, 이번 공격은 광범위하게 시스템 전반에 걸쳐 개시된 공격과 달리 좁은 범위에서 매우 의도적으로 대상을 지정하고, 수동으로 실행한 공격임을 확인했다”라고 작성했다.

솔라윈즈는 업체 수십만 곳을 고객으로 두고 있다. 12월 14일(현지 시각), 증권거래위원회(SEC)의 공개 내용을 통해 솔라윈즈 고객사 1만 8,000곳이 해킹에 취약할 위험성이 있는 것으로 알려졌다.
 
[사진=Freepik]
[사진=Freepik]

파이어아이와 마이크로소프트는 이번 해킹의 발생 흐름을 자세히 설명했다. 우선, 해커 집단이 소라윈즈의 오리온 업데이트 메커니즘 보안을 악화해, 솔라윈즈 시스템이 악성 코드에 감염된 소프트웨어를 수천 곳에 달하는 기관에 배포하도록 했다. 그리고, 조작된 오리온 소프트웨어를 피해자 네트워크의 백도어로 이용했다. 여기서부터 해커는 해킹 대상이 된 시스템을 확산할 수 있었다. 주로 관리자 권한 토큰 도난 행위가 발생했다. 마지막으로 해킹 공격 혹은 각 시스템 해킹 공격의 대대적인 부분의 핵심으로, 해커 집단은 자유롭게 피해 대상이 된 네트워크를 감시하고, 데이터를 유출할 수 있었다.

일종의 공급망 공격이라고 알려진 이번 해킹은 극도로 심각한 결과를 일으킬 수 있다. 해커 집단은 한 기관이나 제조사의 보안을 해치면서 표적이 된 보안을 효율적으로, 그리고 상당한 규모로 악화시킬 수 있다.

러시아는 과거에도 공급망 공격에 의존해 대대적인 피해를 준 적이 있다. 2017년, 러시아 GRU 군사 정보기관은 우크라이나의 회계 소프트웨어 메독(MeDoc)에 접근해, 전 세계에 파괴적인 영향을 미친 낫페트야(NotPetya) 멀웨어를 유포했다. 솔라윈즈와 고객을 대상으로 한 공격은 파괴적인 영향보다는 공격 표적 감시에 중점을 둔 것으로 보인다. 그러나 조용하면서 교묘한 해킹 작전과 함께 전체 해킹 피해의 정도가 바로 분명하게 드러나지 않는다는 실제적인 위험이 존재한다. 해커 집단이 ‘지속적 설정’이라고 알려진 행위인 표적이 된 네트워크에 깊이 들어가는 행위를 한다면, 손상된 소프트웨어 업데이트만으로는 해커를 퇴치할 수 없다. 코지 베어를 처리한다고 해서 문제가 해결되는 것이 아니기 때문이다.

실제로 파이어아이는 이번 해킹이 진행 중이라고 밝혔다. 잠재적 감염 확인 및 공격의 근원 추적은 다소 시간이 걸릴 것이다.

미국 위협 정보 업체 도메인툴(DomainTools) 소속 연구원 조 슬로위크(Joe Slowik)는 “의문의 해커는 독립적으로 구성된 네트워크 인프라스트럭처를 노렸다. 특히, 완전히 새로운 항목을 생성하는 대신 기존 도메인을 갱신하거나 재등록하는 방식에 크게 의존해왔다. 또, 네트워크 인프라스트럭처용 클라우드 호스팅 서비스도 악용했다”라고 설명했다. 해커 집단은 이러한 수법으로 자신들의 정체와 관련된 단서를 숨기고, 흔적을 감추면서 합법적인 트래픽과 혼합했다. 

피해 규모도 파악하기 어렵다. 오리온 자체가 감시 툴이라 ‘누가 감시자를 감시하는가’와 같은 문제가 됐기 때문이다. 이와 같은 이유로 여러 시스템이 오리온에 사용자 네트워크에 대한 신뢰와 권한을 부여했다. 이는 해커 집단에 가치가 있는 일이었다. 해킹 피해를 받은 사용자와 잠재적인 공격 대상은 반드시 해킹 공격 때문에 오리온의 계속되는 접근을 이용한 다른 인프라스트럭처와 인증 메커니즘의 보안도 함께 악화될 수 있다는 사실을 고려해야 한다. 미국 정부 기관의 해킹 공격 노출 정도도 아직 알려지지 않았다. 국토안보부가 해킹 피해를 본 사실도 12월 14일 오후 이후에 알려졌다.

과거, 미국 국가안전보장국과 해병대사령부 신호 정보 부대에서 근무한 이력이 있는 위협 추적 기업 바이너리 디펜스 시스템즈(Binary Defense Systems)의 CEO 데이비드 케네디(David Kennedy)는 “솔라윈즈의 공급망에 포함된 다른 기관의 보안도 약해졌다고 예상할 수 있다”라고 말했다. 그는 “국가는 일반적으로 이와 같은 공격 수법을 고도로 표적이 된 해킹 시도에 사용한다. 그러나 여전히 우리가 예측해야 할 피해 규모는 매우 크다. 또, 국가 안보에 직접적인 영향을 미친다”라고 설명했다.

국토안보보의 사이버 보안 및 인프라보안국(CISA)는 12월 13일, 여러 경고문을 게재했다. 그리고, 여러 연방 기관에 긴급 명령을 내려 보안 악화를 확인하고 솔라윈즈의 오리온 제품과 연결을 해제할 것을 지시했다. CISA는 12월 14일, “공공 부문과 민간 부문의 모든 협력사에 솔라윈즈의 오리온과 관련된 보안 악화 노출 문제를 평가하고, 네트워크 보안을 관리할 것을 촉구한다”라는 내용의 트위터 게시글을 게재했다. 최근, CISA 국장과 부국장이 사임하거나 도널드 트럼프 대통령의 명령으로 해고됐다. 또, 다른 국토안보보의 사이버 보안 관련 고위급 관료들은 처벌받았다. CISA가 모든 정부 기관의 네트워크 보호에 협력 중인 부적절한 시기에 고위급 관료직 다수가 공석이 됐다.

보도 내용에 따르면, 백악관 국가안보회의는 12월 12일에 긴급회의를 열었다. 그리고 12월 14일, 존 울리엇(John Ullyot) 대변인을 통해 CISA, FBI, 그리고 정보기관 등과 협력해 “신속하고 효율적으로 정부 전체의 네트워크 복구”에 대응하고 있다고 밝혔다.

12월 13일, 러시아 대사관 측은 러시아 정부의 해킹 개입을 부인했다. 그리고, 러시아의 개입이라는 전제가 “미국의 여러 언론이 미국 정부 기관을 공격한 해킹을 두고 러시아를 탓하려는 근거 없는 시도”라고 주장했다.

전 세계 해커 집단이 갈수록 공급망 공격에 의존해, 빠르고 효과적으로 공격 접근 규모를 최대화하거나 파괴적인 수준의 피해를 일으킨다. 보안 업계에서는 실제로 발생할 수 있는 최악의 위험을 경고했다. 이번 솔라윈즈 해킹으로 공급망을 이용한 해킹 발생이 사실인 것으로 입증됐다.

<기사원문>
No One Knows How Deep Russia's Hacking Rampage Goes
이 기사를 공유합니다
RECOMMENDED