처음에는 거의 1년 전부터 미국 정부 기관 최소 9곳과 무수히 많은 민간 기업에 타격을 입힌 러시아의 해킹 공작인 솔라윈즈로 시작했다. 그리고 이제는 중국 해커 집단 하프늄(Hafnium)이 마이크로소프트 익스체인지 서버의 취약점을 악용해, 피해자의 이메일 인박스와 그보다 더 깊은 영역을 훔쳐보는 사이버 공격이 발생했다. 이와 같은 정부 산하 해커 집단의 사이버 공격 행위의 전체 통계는 아직 공개되지 않았다. 사이버 공격 발생 건수를 절대로 완벽히 파악할 수 없을 수도 있다.
국가 주도 스파이 행위는 여러 국가가 서로를 겨냥하며, 항상 어디서나 발생한다. 항상 국가 주도 해커 집단이 서로를 겨냥한 사이버 공격을 개시했다. 그러나 러시아와 중국 해커 집단이 가장 최근 벌인 사이버 공격 시도 범위와 수법 발전 정도는 지금도 충격적으로 다가온다. 솔라윈즈 공급망 해킹과 하프늄의 사이버 공격의 단기적 파장 모두 사이버 공격 자체를 발견한 뒤에도 전면적인 조처를 하는 것이 매우 까다롭다는 사실을 강조한다.
이제 솔라윈즈 공격의 기본적인 상황을 익히 알고 있을 것이다. 러시아 해커로 추정되는 사이버 범죄 집단이 IT 관리 기업 솔라윈즈의 네트워크에 침입해, 총 1만 8,000개나 되는 기관이 노출된 솔라윈즈의 오리온 네트워크 모니터링 툴 버전을 변경했다. 솔라윈즈 공격 피해 기관의 정확한 수는 공격에 노출된 기관의 수보다 훨씬 더 적을 것으로 추정되나 보안 전문가 다수가 지금까지 피해를 본 기관은 최소 수백 곳이라고 지정했다. 솔라윈즈 CEO 수다카 라마크리슈나(Sudhakar Ramakrishna)는 자신의 의견을 들을 모든 이를 열렬히 지목하며 러시아 해커 집단이 이번 공격 사태에서 노린 소프트웨어 공급망 기업은 솔라윈즈뿐만이 아니라고 주장했다. 그와 동시에 지금까지 계산된 것보다 생태계 내 피해자 범위가 훨씬 더 광범위하다는 점을 시사했다.
상원 정보 위원회 의장인 마크 워너(Mark Warner)는 2021년 2월 말에 열린 솔라윈즈 해킹 관련 청문회에서 “솔라윈즈 사건과 원인, 발생 범위 및 규모, 그리고 다음에 해야 할 조치 등을 더 많이 알아보아야 한다는 것이 분명해졌다”라고 말했다. 미국 사이버보안 및 기반시설 기관(US Cybersecurity and Infrastructure Agency) 총괄 대행인 브랜든 웨일스(Brandon Wales)는 MIT 테크놀로지 리뷰와의 인터뷰에서 솔라윈즈 공격으로 타격을 입은 미국 정부 시스템을 복구하는 과정에만 최대 18개월이 걸릴 것이라고 밝히며, 민간 부문의 피해 복구 소요 기간은 언급하지 않았다.
[사진=Freepik]
이처럼 해킹 공격 문제 파악 불확실성 문제는 마이크로소프트가 3월 2일(현지 시각)에 밝힌 중국의 해킹과 함께 증폭된다. 미국 보안 기업 볼렉시티(Volexity)가 최초로 발견한 중국 정부 산하 해커 집단 하프늄은 소프트웨어에서 취약점을 발견하기 전에 개시하는 제로데이 공격을 다수 악용해, 아웃룩을 포함한 여러 이메일 클라이언트를 관리하는 익스체인지 서버에 침입했다. 이 과정에서 주요 공격 대상의 이메일 계정을 몰래 읽을 수 있었다.
볼렉시티 창립자 스티븐 아데어(Steven Adair)는 하프늄의 사이버 범죄가 2021년 1월 6일부터 시작된 사실을 관찰했다고 밝히며, “하프늄의 사이버 공격을 발견하지 못한 것은 누구의 잘못도 아니다. 이번 공격은 특정 대상을 직접적으로 겨냥하며, 경고가 필요한 정도의 활동은 많지 않았다”라고 설명했다.
그러나 2021년 말, 볼렉시티는 하프늄 해커가 마이크로소프트의 익스체인지 서버의 보안이 철저한 지점을 이용해, 피해자의 네트워크에 더 깊이 숨어서 침입하기 시작하자 행동 표시 변화를 관측했다. 아데어는 “매우 심각했다. 제한이 없는 접근을 한 이가 의도적으로 메일에 접근한 것은 최악의 상황이다. 그리고, 해커가 피해자의 네트워크에 침입하고 파일을 작성할 수 있어, 이를 막기위한 조처를 하고 정리가 어렵다는 측면에서 한 단계 더 치밀해졌다”라고 말했다.
솔라윈즈 공격과 하프늄 공격 모두 멈추지 않았다. 이는 적어도 광범위한 공격 제거 작업이 여전히 먼 현실임을 의미한다. 걷잡을 수 없을 정도로 원유가 유출되는 유조선을 정리하는 것과 같은 일이다. 위협 감기 기업 헌트리스(Huntress) 소속 수석 연구원인 존 하몬드(John Hammond)는 하프늄 사이버 공격 행위와 관련, “솔라윈즈 공격이나 하프늄 공격 모두 현재 진행 중이며, 보안이 취약해 보이는 기관은 모두 공격 대상으로 삼는다”라고 말했다.
마이크로소프트는 익스체인지 서버 사용자 누구나 하프늄의 공격을 막기 위한 패치를 배포했다. 그러나 다른 해커가 결함 수정에 대한 역설계 작업을 해, 자체적으로 취약점을 악용할 방법을 찾기 전까지의 문제이다. 랜섬웨어 집단이나 크립토재킹 집단이 또 다른 사이버 공격을 위해 당장 행동을 개시하리라 예상할 수 있다.
아데어는 “이는 제한이 없는 사이버 범죄가 될 수도 있다. 패치가 제거됐을 때, 누군가에게는 구성요소 파악이 사소하면서 쉬운 일이 될 수 있다고 본다”라고 언급했다.
패치를 설치하면, 누구나 하프늄의 공격을 막을 수 있다. 그러나 지금까지 이어진 하프늄의 공격이 전조에 불과했다면, 사이버 공격 목록이 종합적이라고 볼 수 없다. 마이크로소프트는 2017년 3월, 이터널블루(EternalBlue) 취약점을 다룰 패치를 배포했다. 그로부터 2개월 뒤, 워너크라이(WannaCry) 바이러스가 외부로 유출된 미국 국가안전보장국(NSA)의 툴을 악용해 재빨리 인터넷을 공격했다. 2년 뒤, 전 세계적으로 100만 대가 넘는 기기가 여전히 워너크라이 바이러스에 취약한 것으로 파악됐다. 즉, 하프늄과 하프늄에 영감을 주는 여러 사이버 공격 집단이 매우 심각한 피해를 주어, 공격 범위를 넓힐 수도 있다.
그와 동시에 해커 집단의 행동 중, 놀라운 부분이 없다. 오바마 행정부 시절 사이버 보안 협력 보좌관직을 지낸 비영리단체 사이버 위협 동맹(Cyber Threat Alliance)의 창립자 겸 CEO인 J.마이클 대니얼(J. Michael Daniel)은 “항상 사이버 공간 전반에 걸쳐 발생하는 국가 지원으로 이루어지는 기초 수준의 스파이 행위가 존재하는 것이 분명하다”라고 말했다. 솔라윈즈 공격과 하프늄 해커 모두 갑작스럽게 포착되었다. 미국이 갈수록 러시아와 중국을 비롯한 국가 주도 해커를 기소하려는 의지를 보여, 일반적으로 지적 재산권 탈취 혹은 명백한 국제 규범 위반 사항 등이 발생한다. 스파이 행위는 그리 많이 일어나지 않는다. 이 때문에 사이버 공격 무력화가 약간 더 까다롭다. 냉전 시대에는 단순히 스파이를 추방하기만 하면 됐다. 그러나 이는 스파이가 먼 거리의 컴퓨터 앞에 앉아서 사이버 범죄를 개시할 때는 선택할 수 없는 해결책이다.
즉, 솔라윈즈와 하프늄의 일련의 공격이 계속 정교하게 이루어지며, 아마도 몇 년간 사이버 공격 행위를 끝내는 순간에 단 한 차례도 도달하지 못할 수 있다.
아데어는 “시간이 지나면, 솔라윈즈나 또 다른 기관의 공격망 보안 공격을 더 발견하게 될 것인가? 그럴 수도 있고, 아닐 수도 있다. 훨씬 더 많은 기관에 타격을 입힐 수도 있고, 이를 절대로 발견하지 못할 수도 있다. 피해 기관이 사이버 공격 발생 사실 자체를 전혀 알지 못하거나 공격 발생 사실을 발견해도 대중적으로 공격이 확대되지 않기 때문일 수도 있다”라고 말했다. 이어, 그는 하프늄도 마찬가지라고 언급했다. 그는 “하프늄 공격 소식을 평생 듣게 될 것인지는 모르겠지만, 그 여파는 오래 지속될 것이다. 지금까지의 하프늄의 공격만 기반으로 살펴보았을 때, 이미 하프늄 공격의 여파가 오래 지속되고 있다”라고 덧붙여 설명했다.
![[사진=Freepik]](/news/photo/202103/2975_3966_3525.jpg)
뉴스레터 신청