본문 바로가기 주메뉴 바로가기 검색 바로가기
美 법무부, 솔라윈즈 해킹 사태 첫 발표일 6개월 전 감지했다
상태바
more #미국 법무부 #솔라윈즈 #솔라윈즈 해킹 #공급망 공격 #사이버 공격
美 법무부, 솔라윈즈 해킹 사태 첫 발표일 6개월 전 감지했다
2020년 5월, 미국 법무부는 러시아 해커 조직이 솔라윈즈 네트워크에 침투한 사실을 알아차렸다. 그러나 그 심각성을 6개월간 눈치채지 못했다.
By KIM ZETTER, WIRED US

와이어드가 입수한 바에 따르면, 미국 법무부와 사이버 보안 기업 맨디언트(Mandiant), 마이크로소프트가 솔라윈즈(SolarWinds) 네트워크 보안 침입 발생 사실을 초기 보도 일정보다 6개월 일찍 알아차렸으나 그 심각성을 인지하지 못했다.

2020년 12월 공개 보도된 솔라윈즈 해킹 사태는 러시아 해커 조직이 소프트웨어 개발사 솔라윈즈(SolarWinds)의 네트워크에 침입하고는 고객사 1만 8,000여 곳에 제공하는 소프트웨어에 백도어를 심은 사태를 말한다. 해킹으로 감염된 소프트웨어 때문에 미국 법무부와 국방성, 국토안보부, 재무부를 포함한 미국 연방 정부 기관 최소 9곳이 피해를 본 것으로 확인됐다. 또한, 마이크로소프트, 맨디언트, 인텔, 시스코, 팔로 알토 네트웍스(Palo Alto Networks) 등 테크 업계와 보안 업계 최고 기업도 피해를 보았다. 러시아 해커 세력은 맨디언트가 솔라윈즈 공급망 공격을 발견하기 전 4~9개월간 여러 네트워크에 잠입했다.

이제 와이어드는 법무부가 솔라윈즈 공급망 공격 작전 발생 사실이 알려진 시점보다 6개월 이른 2020년 5월 중으로 처음 발견한 사실을 확인했다. 그러나 당시 공격 규모와 심각성이 즉시 드러나지 않았다. 해당 사건에 정통한 소식통에 따르면, 법무부가 솔라윈즈의 오리온(Orion) 소프트웨어 시험판을 운영한 서버 중 한 곳에서 비정상적인 트래픽이 전송된 사실을 감지했을 당시 이상 징후 의심이 시작됐다. 시스템 관리자가 네트워크 관리 및 구성 목적으로 사용한 오리온 소프트웨어는 외부에서 인터넷의 낯선 시스템과 통신을 이어갔다. 법무부는 맨디언트 측에 서버 해킹 여부 확인을 위해 도움을 청했다. 해킹 조사 과정에는 마이크로소프트고 참여했으나 마이크로소프트가 조사에 참여한 이유는 확실히 알려진 바가 없다.
 
[사진=Freepik]
[사진=Freepik]

법무부 내 네트워크 보안 침입을 겪은 부서는 알려지지 않았다. 그러나 법무관리부미국 연방 관재인제도(US Trustee Program) 대표단이 보안 침입 사건 논의 과정에 참여했다. 미국 연방 관재인제도는 파산 사건과 파산관재인 관리자를 감독한다. 법무관리부는 법무부 예산 담당자와 인사 관리 담당자, 윤리 담당자, 조달 담당자, 보안 담당자 등에게 조언을 건넨다.

조사단은 해커 세력이 법무부 서버를 직접 공격했을 것으로 의심하며, 오리온 소프트웨어의 취약점을 악용한 것으로 추정한다. 솔라윈즈에 조사 도움을 받고자 연락했으나 솔라윈즈 엔지니어는 코드 취약점을 발견할 수 없었다. 2020년 7월, 여러 수수께끼가 해결되지 않은 가운데, 조사관과 솔라윈즈 간 소통이 중단됐다. 1개월 뒤 법무부는 오리온 시스템을 구매했다. 법무부가 오리온 소프트웨어에 만족했으며, 추가 위협은 없다는 점을 시사한다.

법무부 대변인은 사건과 조사 모두 진행된 사실을 확인했으나 조사 결론과 관련하여 자세한 정보는 공개하지 않았다. 법무부 대변인은 이메일로 보낸 공식 성명에 “사건 대응과 보안 완화 노력이 완료됐으나 미국 연방 수사국(FBI)의 범죄 조사는 도처에 공개된 상태이다”라고 작성했다. 와이어드는 복수 소식통과 함께 맨디언트, 마이크로소프트, 솔라윈즈 모두 법무부 네트워크 보안 침입 및 조사 논의에 참여한 사실을 확인했다. 세 기업 모두 와이어드의 솔라윈즈 사태 관련 문의에 답변을 거부했다.

법무부는 미국 사이버보안 인프라안보국(CISA)에 네트워크 보안 침입 발생 사실을 알렸다고 주장했다. 그러나 미국 국가안전보장국(NSA) 대변인은 NSA도 보안 문제 발생 사실을 안내받지 못한 사실에 분노를 표했다. 그러나 2020년 12월, 솔라윈즈 사태로 미국 법무부 등 복수 연방 기관까지 피해를 본 사실이 대중에 알려졌을 때 법무부나 CISA 모두 몇 달 전 보안 문제를 비공개로 조사한 사실을 알리지 않았다. 미국 법부부는 초기에 법무부 소속 최고 정보 책임자가 12월 24일 자로 보안 문제 발생 사실을 확인했다고 발표했다.

2020년 11월, 법무부가 보안 피해 완화를 마친 뒤 맨디언트가 해킹 사실을 발견했다. 그리고 한 달 뒤 자사 서버에서 오리온 소프트웨어의 보안 침해를 추적했다. 소프트웨어 조사를 통해 해커 세력이 오리온 소프트웨어에 삽입한 백도어가 포함되었으며, 2020년 2월 중으로 솔라윈즈가 백도어를 압축한 사실이 드러났다. 백도어에 감염된 소프트웨어는 2020년 3월부터 6월 사이에 소프트웨어를 설치한 솔라윈즈 고객사 1만 8,000곳에 확산됐다. 바로 법무부가 오리온 서버에서 예상치 못한 트래픽을 발견한 시점이다. 해커 세력은 오리온 소프트웨어를 내려받은 기업 중 극소수만 감시 작전 대상으로 지정했다. 백도어에 감염된 연방 기관과 테크 기업, 정부 기관, 방위산업체, 국책연구소 등 다른 조직 100여 곳의 네트워크에 더 깊이 침투했다.

맨디언트는 와이어드 측에 2020년 7월 28일 자로 오리온 소프트웨어 감염 피해가 발생했다고 전했다. 맨디언트의 감염 피해 발생 시기는 법무부의 네트워크 보안 침입 조사 지원 시기와 일치한다.

공급망 해킹 피해 사실을 2020년 12월에 발표하면서 몇 달 전부터 정부 네트워크에서 솔라윈즈 캠페인과 관련된 사건을 추적하고 있었다는 사실을 공개적으로 밝히지 않은 이유를 물어보았다. 이에, 맨디언트 대변인은 “해킹 피해 사실 공개 시 다른 피해 고객사만 확인했다”라고 전했다.

솔라윈즈 공급망 공격 사태는 여러 기관, 업계 간 정보 공유의 중요성을 부각한다. 바로 바이든 행정부가 강조한 바이기도 하다. 법무부는 CISA에 해킹 사실을 알렸으나 NSA 대변인은 와이어드에 2021년 1월, 일부 연방 기관 관계자 간의 통화 도중 정보를 공개하기 전까지 피해 사실을 전혀 안내받지 못했다고 주장했다.

2021년 1월은 FBI, 마약단속국(DEA), 미국 연방보안관실(US Marshals Service)을 포함한 여러 산하 기관의 직원 10만 명 이상 두고 있는 법무부가 솔라윈즈 사태 배후 세력이 법무부의 오피스 365 메일박스 약 3%에 접근했을 가능성을 발표한 때이기도 하다. 당시 오피스 365 메일박스 접근이 솔라윈즈 공급망 해킹의 일부분인지 혹은 솔라윈즈 사태 배후 세력이 개시한 공격이 맞는지를 중심으로 의견 차이가 발생했다. 6개월 뒤 법무부는 솔라윈즈 공급망 해킹의 연장선상으로 보고, 솔라윈즈 공급망 해킹 공격 세력이 캘리포니아, 뉴욕, 워싱턴DC 등 미국 연방 검사 사무실 27곳의 직원 이메일 계정을 해킹했다고 발표했다.

이후 법무부는 “투명성과 국토 회복성 강화”를 위해 해커 세력이 2020년 5월 7일부터 12월 27일까지 보안 침입이 발생한 계정에 접근한 것으로 추정되는 등의 새로운 정보를 공개한다고 발표했다. 또, 유출 데이터에는 2020년 5월 7일부터 12월 27일 사이 보안 침입이 발생한 계정에서 발견된 모든 송수신, 저장된 이메일과 첨부 파일이 포함된 것으로 드러났다.

법무부 조사 담당자만 초기 보안 침입 증거를 알아낸 것이 아니다. 법무부의 네트워크 보안 침입 조사 진행 당시 보안 기업 볼렉시티(Volexity)도 이전에 밝힌 바와 같이 어느 한 미국 국책연구소의 보안 침입을 조사하고 해당 기관의 오리온 서버를 추적했다. 2020년 9월, 보안 기업 팔로 알토 네트웍스도 자사 오리온 서버와 연결된 이상 활동을 감지했다. 볼렉시티는 고객사 서버에 백도어가 설치되었을 가능성을 의심했으나 결국, 백도어를 전혀 찾지 못한 채로 조사를 종료했다. 팔로 알토 네트웍스도 법무부와 마찬가지로 솔라윈즈와 소프트웨어 공급 계약을 맺었으나 문제를 찾지 못했다.

정부의 솔라윈즈 공급망 해킹 예방 및 초기 감지 실패를 비판한 오리건주 민주당 소속 상원 의원인 론 와이든(Ron Wyden) 의원은 법무부가 문제를 일찍 알아냈다는 사실은 미국 정부의 공격 대응 방식과 초기 감지 기회를 놓친 방법을 조사해야 한다는 의미라고 주장했다.

와이든 의원은 이메일을 통해 “러시아의 솔라윈즈 공급망 해킹 피해가 발생한 이유는 미국 정부와 업계 협력사가 연속으로 대응에 실패한 탓이다. 행정부가 솔라윈즈 공급망 해킹을 철저하게 조사하고 실패를 다루었다는 증거를 전혀 발견하지 못했다. 연방 정부가 처음부터 문제가 발생한 부분을 시급히 살펴보고, 앞으로 정부 기관이 사용하는 다른 소프트웨어의 백도어를 즉시 발견하여 무력화할 수 있어야 한다”라는 견해를 피력했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The DOJ Detected the SolarWinds Hack 6 Months Earlier Than First Disclosed
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다
RECOMMENDED
와이어드 뉴스레터 신청
  • 서울시 마포구 월드컵북로 56길 12 상암동 Trutec 빌딩 6층
  • 대표 전화 : 1833-8910 (평일 오전 9:30~18:30)
  • 팩스 : 02)539 -3968
  • 대표 메일 : wiredkorea@wired.kr
  • 회사명 : ㈜스포티비와이어드
  • 제호 : 와이어드코리아 WIRED Korea
  • 정기간행물 등록번호 : 서울 아 52627
  • 등록일 : 2019-09-30
  • 발행일 : 2019-12-12
  • 청소년보호책임자 : 이상현
  • 청소년보호책임자 : 이상현
  • WIRED Korea의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 와이어드코리아 Wired Korea. All rights reserved.
ND소프트
WIRED Korea 공식 SNS
WIRED Korea Newsletter 구독신청