본문 바로가기 주메뉴 바로가기 검색 바로가기
중국의 익스체인지 서버 해킹, 피해 규모 천문학적인 것으로 확인
상태바
중국의 익스체인지 서버 해킹, 피해 규모 천문학적인 것으로 확인
하프늄이라는 이름으로 알려진 해커 집단 한 곳이 마이크로소프트 익스체인지 서버 수만 개에 침입해, 해킹 공격을 진행하고 있다.
By ANDY GREENBERG, WIRED US

2021년 3월 초, 중국 해커 집단이 마이크로소프트 익스체인지 서버를 악용한 사이버 공격을 활발히 개시했다는 소식이 보도되자, 사이버 보안 업계는 해커가 제로데이 취약점을 악용해 세계 각지의 무수히 많은 기관에 타격을 입혔을 수 있다고 경고했다. 이제 많은 이메일 서버가 해킹된 사실이 확실히 드러났다. 확실히 드러난 바에 따르면, 하프늄(Hafnium)이라는 해커 집단이 전 세계 인터넷을 통해 찾아볼 수 있는 수많은 피해자의 서버에 침입하고는 영구적으로 백도어를 남겨두었다.

하프늄의 해킹 조사 내용을 자세히 알고 있는 업계 소식통이 와이어드에 전한 바에 따르면, 하프늄은 마이크로소프트 익스체인지 서버의 아웃룩 웹 액세스에서 제로데이 취약점을 악용해, 무자비하게 무려 수만 명의 이메일 서버를 해킹했다. 미국 사이버 보안 기업 볼렉시티(Volexity)가 최초로 발견한 침입 행위는 2021년 1월 6일부터 시작돼, 2월 26일(현지 시각)부터 눈에 띄게 공격 행위가 증가했다. 그리고, 2021년 3월 초에 눈에 띄게 해킹 행위가 급격히 증가했다. 하프늄 측은 3월 2일(현지 시각)에 배포된 마이크로소프트의 패치에 대응해, 해킹 공격 행위를 훨씬 더 늘리고 자동화했다. 익스체인지 서버 공격을 조사한 어느 한 전문가가 와이어드에 설명한 바에 따르면, 익명성 때문에 미국에서만 3만 명 이상이 익스체인지 서버 공격 피해를 보았으며, 전 세계 피해자 수는 수십만 명에 달한다. 또, 모두 같은 집단의 공격 행위인 것이 분명히 드러났다는 사실도 언급했다. 개인 사이버 보안 전문 기자 브라이언 크렙스(Brian Krebs)는 3월 5일(현지 시각), 처음 해킹 피해를 본 기관의 수가 최소 3만 곳이라고 보도했다.

하프늄 공격 조사 상황을 잘 알고 있는 어느 한 전직 국가 안보 관료는 “피해 범위가 너무 넓다. 매우 심각할 정도로 넓다. 전 세계적으로 시간당 수천 개의 서버가 해킹 피해를 본 것을 확인했다”라고 말했다.
 
“하프늄이 심어둔 웹 셸은 시한폭탄이다”
스티븐 아데어, 볼렉시티

3월 5일 오후(현지 시각)에 열린 기자회견에서 백악관 대변인 젠 사키는 하프늄의 해킹 공격을 받은 익스체인지 서버를 사용하는 사람이나 기관 모두 즉시 취약점을 해결하기 위해 마이크로소프트의 패치를 설치해야 한다고 경고했다. 그는 백악관이 이례적으로 특정 사이버 보안 취약점 때문에 열게 된 기자 회견에서 “피해자 수가 매우 많다는 점이 우려스럽다. 그리고, 현재 백악관은 협력사와 함께 피해 범위를 파악하고자 조사하고 있다. 네트워크 소유자는 이미 보안 공격을 받았는지 확인하고, 즉시 적절한 조처를 해야 한다”라고 밝혔다. 백악관은 3월 4일 밤(현지 시각), 전직 사이버 기반 시설 보안 기관(Cybersecurity and Infrastructure Security Agency) 총괄인 크리스 크렙스(Chris Krebs)가 트위터상에서 조언한 내용을 반복해 말하며, 익스체인지 서버에 노출된 이는 전부 보안 침입을 피해를 본 것으로 추측하고, 즉시 해커의 접근 권한을 없애기 위한 대처를 해야 한다고 경고했다.

하프늄의 공격 대상이 된 네트워크 다수가 클라우드 기반 이메일 시스템을 사용하는 대기업보다 중소기업이 피해 기관에 포함됐을 가능성이 높은 가운데, 자동화된 스캔 작업을 통해 무차별적으로 해킹된 것으로 파악됐다. 해커는 해킹한 익스체인지 서버에 웹 기반 백도어 위치를 기반으로 원격 접근할 수 있는 웹 셸(web shell)을 삽입해, 공격 대상으로 삼은 기기를 정찰하고는 같은 네트워크를 사용하는 다른 여러 컴퓨터에도 이동할 수 있도록 했다.

볼렉시티 창립자 스티븐 아데어(Steven Adair)는 이는 해킹된 전 세계 서버 중 소수만이 하프늄의 적극적인 공격 대상이 됐음을 의미한다고 말한다. 그런데도 해커가 설치한 백도어를 제거하기 위한 노력을 하지 않는 기관은 여전히 보안이 취약해진 상태이며, 웹 셸이 제거될 때까지 해커가 해당 네트워크에 다시 들어와 데이터를 탈취하거나 혼란을 일으킬 것이다. 아데어는 “매우 많은 기관이 초기 공격의 발판이 되고 있다. 하프늄이 심어둔 웹 셸은 언제든 공격 대상이 된 기관을 공격할 수 있는 시한폭탄이다”라고 말했다.

하프늄의 공격을 조사한 어느 한 보안 연구원은 와이어드에 하프늄의 침입 행위 대부분이 웹 셸로만 구성된 것으로 나타나는 가운데, 전 세계적으로 보안 침입을 당한 천문학적인 수의 기관은 특히 우려를 낳는다고 알려주었다. 보안 공격을 당한 여러 중소 기관 중, 지방 정부 기관과 경찰서, 병원, 코로나19 대응 기관, 에너지 시설, 대중교통, 공항, 교도소 등이 있다. 와이어드에 상황을 설명한 연구원은 “중국이 전 세계, 적어도 아웃룩 웹 액세스 사용자 전원을 손에 쥐고 있다. 하프늄의 해킹은 모두를 겨냥한 대대적인 사이버 공격이 마지막으로 발생하고 얼마 지나지 않은 시점에 발생한 또 다른 공격 아닌가?”라고 말했다.
 
[사진=Unsplash]
[사진=Unsplash]

사실, 가장 최근 알려진 대대적인 침입 행위는 2020년 12월, 러시아 해커 집단이 총 1만 8,000개의 기관이 사용한 솔라윈즈의 IT 관리 툴을 공격한 사건이다. 솔라윈즈 해킹 공격으로 미국 연방기관 최소 6곳이 피해를 보았다. 하프늄의 익스체인지 서버 공격은 솔라윈즈 해킹 발생 후, 불과 몇 개월 만에 두 번째로 발생한 대대적인 사이버 공격이다.

하프늄의 익스체인지 서버 공격 행위는 2개월 전부터 나타났다. 러시아의 솔라윈즈 해킹이 1년 넘게 발견되지 않았던 것과 대비된다. 또, 하프늄 공격의 피해 기관 명단은 중소 기관으로 다소 제한적이지만, 솔라윈즈 해킹 공격 피해 규모는 대규모 미국 정부 기관이라는 점도 다르다.

그러나 러시아 해커 집단이 솔라윈즈를 공격했을 당시와 같이 연구원은 아직 하프늄 해커의 배후 세력을 정확히 알아내지 못했다. 중국에서 국가 차원의 지원을 받아 운영되는 해커 조직이라는 마이크로소프트의 주장 이외에는 확실히 밝혀진 바가 없으며, 하프늄의 공격 동기를 완벽히 찾아내지도 못했다. 와이어드에 하프늄 공격 문제를 설명한 전직 국가 안보 관료는 중국의 국가 안전부를 언급하며, “중국 국가안전부가 지방 정부 기관에 끊임없이 유지하는 전략적 목적이 무엇인지 이해할 수 없다. 또, 해커 집단은 계약 기관인가 아니면 대리 기관인가? 중국 사이버 범죄 집단인가? 혹은 중국 국가 안전부보다 앞서 행동을 개시하는 해커 조직인가?”라고 말했다.

해킹 공격 행위가 스파이 대상을 분류하기 전, 광범위한 넷을 고려하는 가운데, 와이어드의 인터뷰에 응한 보안 전문가는 하프늄의 공격 행위가 아직 치명적인 영향을 미치지 않았다고 말했다. 그는 “하프늄이 익스체인지 서버 해킹을 이용해 랜섬웨어 공격을 개시하려 한다면, 사이버 보안 역사상 최악의 순간을 맞이하게 될 것이다”라고 경고했다.

그러나 그는 솔라윈즈 해킹과 달리 익스체인지 서버 해킹을 조기에, 혹은 적어도 광범위하게 악용되기 전에 발견됐다고 설명했다. 수만 곳에 달하는 기관을 감염시킨 해커의 사이버 공격 제거 작업이 힘든 만큼 해킹 초기 감지는 피해자가 시스템 패치 작업과 기관 내 위치 접근을 기반으로 한 해킹 공격 개시 전 해커의 공격 제거 기회를 부여한다. 그는 “솔라윈즈 해킹과 같은 규모의 사이버 공격을 몇 개월 전 제거할 기회가 있었다면, 이에 대응하지 않으려 했을까? 이제 빠르게 대처할 기회가 있다”라고 말했다.

관련 기사: 중·러 사이버 공격, 1년 지나도 해결하기 어렵다?

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Chinese Hacking Spree Hit an ‘Astronomical’ Number of Victims
이 기사를 공유합니다
RECOMMENDED