오늘날 공급망 공격과 랜섬웨어라는 두 가지 압도적인 사이버 보안 공격이 결합해 심각한 피해를 주는 것은 불가피한 일인 듯했다. 7월 2일 오후(현지 시각), 공급망 공격과 랜섬웨어가 정확히 결합한 사이버 공격이 발생했다. 러시아의 악명 높은 사이버 범죄 집단인 레빌(REvil)이 단 한 차례의 갑작스러운 공격으로 전 세계 기업 수백 곳의 파일 암호화에 성공했으며, 이는 IT 관리 소프트웨어의 보안 침해 탓인 것이 분명했다. 그러나 이는 시작에 불과하다.
상황은 지금도 더 심각해지고 있으며, 레빌이 소프트웨어에 직접 침입한 방법 등 가장 중요한 사실을 포함해 구체적인 상세한 사항은 여전히 알려지지 않았다. 그러나 이번 공격의 여파는 매우 심각하며, 피해 기관의 특성을 보았을 때 상황이 더 심각해질 것으로 보인다. 이번 공격으로 타격을 받은 소프트웨어 카세야 VSA(Kaseya VSA)는 IT 인프라를 직접 운영하는 대신 외주 기업을 통해 공급받는 관리형 서비스 제공 업체 사이에서 큰 인기를 누린다. 다시 말해, 관리형 서비스 공급 기업 해킹에 성공하면, 그 고객사 네트워크 접근 권한까지 순식간에 얻는다는 의미이다. 한 번에 안전 금고 하나씩 침입하는 행위와 은행 관리자의 키를 탈취하는 행위 간의 차이와 같다고 말할 수 있다.
보안 기업 헌트레스(Huntress)가 밝힌 바에 따르면, 지금까지 레빌은 관리형 서비스 제공 업체 8곳을 해킹했다. 그중, 헌트레스가 직접 협력하는 기업 3곳은 레빌의 이번 공격 때문에 데이터가 암호화된 기업 200곳을 관리한다. 특히, 카세야가 보편적으로 사용된다는 사실을 고려하면, 앞으로 상황이 얼마나 더 심각해질 것인지 알아내기 위해 많은 사항을 계산해, 결론을 내릴 필요는 없다.
보안 사건 대응 기업 브리치퀘스트(BreachQuest)의 최고 기술 관리자인 제이크 윌리엄스(Jake Williams)는 “카세야는 원격 관리 측면에서 코카콜라와 같이 어디에나 존재하는 서비스를 제공한다. 피해 발생일 다음 날이 주말이기 때문에 7월 6일이나 7월 7일이 되어서야 정확한 피해 규모를 알 수 있을 것으로 보인다. 그러나 이번 공격의 피해 규모는 클 것이다”라고 설명했다.
[사진=Freepik]
사이버 범죄 세력과 사이버 보안 세력 모두에게 최악
관리형 서비스 제공 업체는 특히 국가 주도 해커 집단 사이에서 오래전부터 사이버 범죄 세력의 주된 공격 대상이 되었다. 관리형 서비스 제공 업체를 상대로 공격을 개시하고, 이를 관리할 수 있다면, 매우 효율적인 감시 행위를 할 수 있기 때문이다. 2018년, 미국 법무부가 관리형 서비스 제공 업체의 보안 침입을 악용해 기업 수십 곳의 데이터 수백 기가바이트를 탈취한 중국 최정예 해커 집단인 APT 10 소속 스파이를 기소한 사건을 그 예시로 언급할 수 있다. 레빌은 2019년에도 서드파티 IT 기업의 보안 지위를 악용해 텍사스주 정부 산하 기관 22곳의 정보를 탈취하는 등 관리형 서비스 제공 업체를 공격 표적으로 삼은 적이 있다.
공급망 공격은 갈수록 보편적인 사이버 범죄가 되었으며, 2020년 말 러시아에 미국 정부 기관 여러 곳과 무수히 큰 피해 기관의 정보 접근 권한을 건네면서 심각한 피해를 일으킨 솔라윈즈 사태로 가장 큰 주목을 받았다. 관리형 서비스 제공 업체 공격과 마찬가지로 공급망 해킹도 갈수록 피해가 더 심각해진다. 소프트웨어 업데이트 하나를 감염시키면 수백 곳의 피해 기관에 타격을 줄 수 있기 때문이다.
그다음으로 관리형 서비스 업체를 겨냥한 공급망 공격이 자칫하면 매우 심각한 결과를 초래할 위험성을 지닌 이유를 살펴볼 수 있다. 시스템을 파괴할 수 있는 랜섬웨어를 함께 이용하면, 심각한 상황을 막는 것이 더 어려워진다. 마찬가지로 공급망 보안 악화를 이용해 랜섬웨어처럼 보이는 사이버 공격을 유포하지만, 실제로는 러시아가 정부의 지원을 통해 개시한 공격인 것으로 밝혀졌으며, 심각한 피해를 초래한 낫페트야(NotPetya) 공격을 떠올릴 수 있다. 비교적 최근 발생한 러시아발 사이버 공격도 이와 비슷하다.
바이러스 방지 기업 엠시소프트(Emsisoft)의 위협 애널리스트 브랫 칼로우(Brett Callow)는 “이번 카세야 공격은 랜섬웨어가 추가된 솔라윈즈 사태라고 보면 된다. 관리형 서비스 제공 업체 한 곳의 보안이 악화되면, 최종 사용자 수백 명에게 영향을 미칠 수 있다. 이번 사례에서는 관리형 서비스 제공 업체 여러 곳이 타격을 받았다”라고 설명했다.
윌리엄스는 레빌이 피해 기업에 약 4만 5,000달러 상당의 가치에 상응하는 암호화폐 모네로를 건네도록 요구했다고 설명했다. 만약, 일주일 이내로 레빌이 요구한 모네로를 건네지 않는다면, 레빌이 요구하는 금액은 두 배 증가할 것이다. 보안 뉴스 웹사이트인 블리핑컴퓨터(BleepingComputer)의 보도에 따르면, 레빌은 일부 피해 기업에 암호화된 모든 PC 네트워크의 암호화 해제 키를 받고자 한다면, 500만 달러를 건넬 것을 요구했다. 이는 관리형 제공 업체의 거래 기업보다는 관리형 제공 업체 그 자체를 공격 대상으로 삼은 것으로 보인다.
헌트레스 소속 수석 보안 연구원인 존 하몬드(John Hammond)는 종종 “관리형 서비스 제공 업체가 여러 중소기업과 기관의 중심 역할을 하는 사례를 종종 논의한다. 그러나 카세야가 이번 공격으로 타격을 받았다면, 사이버 공격 세력이 카세야의 중심이 되는 모든 기업의 보안을 공격했을 것”이라고 말했다.
레빌이 그동안 공격을 위해 직접 악명 높은 사이버 공격 세력이라는 지위를 쌓아온 사실을 고려하면, 오히려 이번 공격에서 전체 공격 행위에 랜섬웨어를 채택한 사실이 놀랍다. 멀웨어헌터팀(MalwareHunterTeam)이라는 이름으로 알려진 보안 연구원은 “랜섬웨어를 배포하기 위해 그동안 쌓아온 접근 권한을 없애는 것은 그리 영리한 수법이 아니다”라고 분석했다. 예를 들어, 국가의 지원을 받는 사이버 공격 세력은 랜섬웨어가 감시 행위를 하는 데 그리 가치 있는 수법이 아니라는 사실을 알아냈을 것이다. 그저 즉시 여러 기관에 심각한 피해를 주기에 매우 좋은 수법이다.
좋지 않은 시기
지금까지 클라우드에서 소프트웨어로서의 서비스(SaaS)와 달리 카세야 VSA를 자체적으로 직접 설치해 실행하는 기업만 피해를 본 것으로 알려졌으나 초기의 보안 침입 행위가 어떤 방식으로 발생했는지 확실하지 않다. 카세야 기업 커뮤니케이션 전무인 다나 리드홈(Dana Liedholm)은 “지금까지는 카세야 VSA를 직접 설치하여 운영하는 고객사 소수로 피해 범위가 제한된 것으로 알려졌으나 카세야 VSA를 노린 잠재적인 공격을 조사하고 있다. 매우 신중한 태도를 취해, SaaS 서버를 적극적으로 폐쇄했다”라고 말했다.
이는 7월 2일 오후, 고객사를 대상으로 게재한 카세야의 공지사항 내용과 일치하다. 카세야 VSA는 “매우 신중한 태도를 취해, 이번 공격의 근본적인 원인을 조사하고 있다. 그러나 별도의 공지를 하기 전까지 모든 고객사에 VSA 서버를 즉시 폐쇄할 것을 요청한다. 해커가 개시한 여러 공격 중, 첫 번째 공격이 VSA의 관리자 접근 권한 취득이므로 VSA 서버를 즉시 폐쇄하는 것이 중요하다”라고 작성했다.
위의 경고문 작성 후, 카세야가 소유한 VSA 서버는 여전히 오프라인 상태이다. 7월 2일 밤, 이메일로 발표된 공식 성명에서 카세야 CEO인 프레드 보콜라(Fred Voccola)는 카세야의 SaaS 고객사가 절대로 위험에 처하지 않았으며, 24시간 이내로 서비스가 정상화되리라 예측한다고 밝혔다. 카세야 측은 취약점의 원인을 발견했으며, 레빌의 공격 대상이 되었을 수도 있는 고객사를 위한 패치 작업을 이미 착수했다고 발표했다. 또한, 피해 기관의 수는 전 세계 기관 40곳 미만으로 추산한다고 언급하며, 해커가 일부 관리형 서비스 공급 업체를 발판으로 이용해 더 광범위한 피해 공격에 도달하려 했을 수 있다는 점을 재차 이야기했다.
초기 보안 침입 발생 방식을 떠나 레빌은 랜섬웨어는 물론이고 윈도 디펜더 복사본, 아직은 취소되지 않은 것으로 알려진 기간이 만료됐지만 정통한 서명 인증 등을 포함한 각종 멀웨어를 관리형 서비스 공급 업체에 배포할 수 있었다. 모두 랜섬웨어가 실행되도록 하는 사이드 로딩(side-loading) 수법을 이용해 윈도의 멀웨어 검사를 피할 수 있도록 설계됐다.
7월 2일 밤, 미국 사이버 보안 및 인프라 보안국(CISA)의 공지 사항도 근본적인 원인을 찾아내지 못했다. CISA는 “최근, 카세야 VSA와 VSA 소프트웨어를 사용하는 여러 관리형 서비스 제공 업체를 겨냥한 공급망 랜섬웨어 공격을 이해하고 문제를 해결하고자 노력 중이다. CISA는 여러 기관에 카세야의 경고를 검토하고, 지침을 따라 VSA 서버를 차단할 것을 권고한다”라고 발표했다.
절대 만족할 만한 해결책을 찾지 못할 것으로 보이는 한 가지 의문 사항은 레빌이 이번과 같은 수법으로 랜섬웨어 공격을 개시한 이유이다. 레빌은 여러 피해 기관이 암호화 해제 키 비용을 건넨다면, 거액의 수익을 얻을 수 있다. 그러나 한 번에 기업 수백 곳의 보안에 타격을 준다면, 2021년 5월, 다크사이드가 미국 송유관 기업 콜로니얼 파이프라인(Colonial Pipeline)에 개시한 것과 같은 랜섬웨어 공격처럼 레빌은 스스로 과도한 관심을 끌게 된다. 게다가 랜섬웨어 공격이 미국의 7월 4일 독립기념일 연휴에 앞서 타격을 준 시점을 고려한다면, 기업 수백 곳을 암호화할 때 발생하는 파급효과도 더 지켜보아야 한다. 한마디로 말하자면, 공격의 한계가 밝혀지지 않은 해커 조직인 레빌이 개시했다고 보기에는 믿을 수 없을 정도로 무차별적인 공격이 이루어진 것이다.
윌리엄스는 “레빌이 수많은 기업에 피해를 준다는 사실을 알면서도 전체적인 영향을 예측할 수 없었다고 생각한다. 레빌은 이번 공격을 개시하면서 위험성이 큰 도박을 한다는 사실을 인지했을 것이며, 상당수 피해 기업이 역효과가 발생할 수밖에 없다는 사실을 알았을 것이다”라고 말했다.
어떤 형태로 피해가 발생할 것인지는 더 지켜보아야 한다. 그러나 레빌의 이번 랜섬웨어 공격의 다음 진화 단계가 공식적으로 드러났으며, 그 여파는 매우 심각할 것이다. 이미 그 피해가 매우 심각하다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202107/3237_4300_753.jpg)
뉴스레터 신청