미국 정부·기업 당한 '솔라윈즈 해킹', IT업종에 피해 집중
2020-12-19 12:24
MS 백신 수집데이터 분석결과 발표…"IT분야 피해가 44%"
러시아 첩보기관 관련 해커집단 '코지베어' 소행으로 추정
러시아 첩보기관 관련 해커집단 '코지베어' 소행으로 추정
러시아 해커 집단의 소행으로 추정되는 솔라윈즈 해킹 사건이 미국 정부기관뿐아니라 세계 각국 민간 기업에 광범위하게 이뤄진 것으로 파악됐다. 해킹에 당한 미국 기업 중 하나인 마이크로소프트(MS)에서 자체 조사를 통해 확인한 결과다.
19일 현재 MS는 윈도 운영체제(OS)용 백신 제품 '마이크로소프트 디펜더'를 통해 수집한 데이터를 바탕으로 지난 3월부터 6월까지 발생한 솔라윈즈 해킹의 최대 해킹 피해자가 소프트웨어, IT서비스, IT장비 기업 등 IT업종이라고 밝히고 있다. 솔라윈즈 해킹은 IT장비 모니터링 솔루션을 개발하는 기업 솔라윈즈(SolarWinds)의 소프트웨어를 통해 이뤄진 해킹 사건을 지칭한다. 해커는 이 사건에서 솔라윈즈의 네트워크관리도구 '오리온'의 업데이트 코드에 악성코드를 삽입해 퍼뜨렸다.
솔라윈즈의 오리온을 사용하는 세계 각국의 공공기관과 민간기업으로 악성코드에 의한 해킹 피해가 확산됐다. 지난주 미국 재무부, 상무부, 상무부 산하 통신정보관리청(NTIA) 등이 최초 해킹 대상으로 알려졌다. 이후 미국 보안기업 파이어아이와 IT거인 MS도 해킹을 당한 것으로 확인됐다. 이에 솔라윈즈 제품을 사용하는 미국 국무부와 국방부, 미국항공우주국(NASA) 등 정부기관과 이밖에 다수의 민간기업도 잠재적으로 해킹 피해를 입었을 가능성이 제기됐다.
브래드 스미스 MS 최고법률책임자(CLO) 사장은 지난 17일 공식블로그를 통해 "우리 모두 공공부문과 이밖의 기업·조직 내 추가 피해 소식에 대비해야 한다"며 "케빈 맨디아 파이어아이 최고경영자(CEO)가 최근 공격 사례를 발표하며 '우리는 최고수준의 공격능력을 지닌 국가의 공격을 목격하고 있다'고 말했는데, MS의 사이버보안 전문가들의 대응 결과 우리도 그와 같은 결론에 이르렀다"고 밝혔다. 현재진행형인 이 공격은 MS의 조사를 통해 꽤 광범위하게 이뤄졌음이 드러났다.
MS가 제시한 업종별 사이버공격 피해 비중을 보면 소프트웨어 기업, IT서비스 기업, 장비 공급업체 등을 포함한 IT분야가 전체 공격 표적의 44% 비중을 차지했다. 당초 주요 피해자로 알려진 재무, 국가안보, 건강보건, 통신 등 관련 정부기관이 18%였다. 공공기관의 정책을 지원하는 싱크탱크 및 비정부기구(NGO) 비중도 18%였다. 정부기관 가운데 국방 및 국가안보 조직을 지원하는 민간의 조달계약 업체(government contractor) 비중은 9%였고, 기타 업종 비중이 11%였다.
솔라윈즈가 지난 14일 미국 증권거래위원회(SEC)에 제출한 보고서에 따르면 해커가 악성코드를 퍼뜨리기 위해 업데이트 기능을 악용한 솔라윈즈의 오리온은 전 세계 1만7000여개 고객사에 설치돼 있다. 오리온 고객사의 IT환경에 이 악성코드가 설치되면 해커가 그 조직을 겨냥해 추가 공격을 수행할 수 있는 길을 터 주는 셈이 된다. MS는 이번 주중 진행한 추가 조사를 통해 이런 추가 공격 표적이 된 고객사가 40여곳에 달하는 것을 확인했다고 밝혔다.
스미스 사장은 "이번 사이버공격에 당한 고객들의 80% 가량은 미국에 있지만 이 공격 활동의 피해 고객은 북미 지역의 캐나다, 멕시코, 유럽 지역의 벨기에, 스페인, 영국, 중동 지역의 이스라엘과 아랍에미리트연합(UAE) 등 7개국에서도 확인됐다"면서 "피해 조직의 수와 지역 범위는 확실히 지속 증가할 것"이라고 덧붙였다. MS가 세계지도를 통해 제시한 악성코드 관련 피해 조직의 지도상 위치를 보면 브라질, 호주, 일본, 한국, 인도, 중국, 몽골에서도 발견된다. 러시아에는 없다.
스미스 사장은 이번 솔라윈즈 해킹사건이 러시아 정부 산하 첩보조직에 관련된 해커 집단의 소행이라고 지목했다. 그는 "러시아 엔지니어들은 2016년 미국 선거운동본부를 해킹하고 역(逆)정보로 유권자들에게 분열을 조장했고 2017년 프랑스 대선에서 이를 반복했다"며 "이 기술은 대다수 세계 민주주의국가를 포함하는 70여개국 피해자에 영향을 미쳤고, 그 사이버보안 영역의 약점을 파악하고 악용한 고유한 능력이 이번 공격에도 반영됐다"고 지적했다.
외신들은 이번 해킹사건의 배후를 'APT29' 또는 '코지베어(Cozy Bear)'라 불리는 러시아 해커집단으로 지목하고 있다. 워싱턴포스트 보도에 따르면 이 해커집단은 러시아 해외정보국(SVR) 소속으로, 앞서 버락 오바마 대통령 재임 기간에 미국 국무부와 백악관의 이메일 서버를 해킹하기도 했다. 올해 7월께 미국, 영국, 캐나다 첩보기관에선 이 해커그룹이 옥스퍼드대학교와 제약사 아스트라제네카의 코로나19 백신개발 공동연구의 정보 탈취를 시도했다고 밝히기도 했다.
이날 MS는 해커가 유포한 악성코드가 설치됐으나 제품관련 시스템에는 접근하지 못해 고객에는 피해가 없다고 밝혔다. 이번 해킹 사건은 지난 14일 미국 사이버보안 기업이자 해킹 피해자인 파이어아이의 발표로 처음 알려졌다. 해커는 파이어아이 기업 내부에 침입해 파이어아이가 제작한 모의 해킹툴 등을 탈취했다. 미국 정부기관 가운데 핵안보국(NNSA), 국립보건원(NIH), 국토안보부, 국무부, 에너지부, 미국 3개 주와 오스틴 시 등이 피해대상으로 함께 언급됐다.
한국에서도 솔라윈즈 해킹 관련 추가 피해에 대비하고 있다. 이와 관련한 피해 사례는 발견되지 않았다.
19일 현재 MS는 윈도 운영체제(OS)용 백신 제품 '마이크로소프트 디펜더'를 통해 수집한 데이터를 바탕으로 지난 3월부터 6월까지 발생한 솔라윈즈 해킹의 최대 해킹 피해자가 소프트웨어, IT서비스, IT장비 기업 등 IT업종이라고 밝히고 있다. 솔라윈즈 해킹은 IT장비 모니터링 솔루션을 개발하는 기업 솔라윈즈(SolarWinds)의 소프트웨어를 통해 이뤄진 해킹 사건을 지칭한다. 해커는 이 사건에서 솔라윈즈의 네트워크관리도구 '오리온'의 업데이트 코드에 악성코드를 삽입해 퍼뜨렸다.
솔라윈즈의 오리온을 사용하는 세계 각국의 공공기관과 민간기업으로 악성코드에 의한 해킹 피해가 확산됐다. 지난주 미국 재무부, 상무부, 상무부 산하 통신정보관리청(NTIA) 등이 최초 해킹 대상으로 알려졌다. 이후 미국 보안기업 파이어아이와 IT거인 MS도 해킹을 당한 것으로 확인됐다. 이에 솔라윈즈 제품을 사용하는 미국 국무부와 국방부, 미국항공우주국(NASA) 등 정부기관과 이밖에 다수의 민간기업도 잠재적으로 해킹 피해를 입었을 가능성이 제기됐다.
브래드 스미스 MS 최고법률책임자(CLO) 사장은 지난 17일 공식블로그를 통해 "우리 모두 공공부문과 이밖의 기업·조직 내 추가 피해 소식에 대비해야 한다"며 "케빈 맨디아 파이어아이 최고경영자(CEO)가 최근 공격 사례를 발표하며 '우리는 최고수준의 공격능력을 지닌 국가의 공격을 목격하고 있다'고 말했는데, MS의 사이버보안 전문가들의 대응 결과 우리도 그와 같은 결론에 이르렀다"고 밝혔다. 현재진행형인 이 공격은 MS의 조사를 통해 꽤 광범위하게 이뤄졌음이 드러났다.
MS가 제시한 업종별 사이버공격 피해 비중을 보면 소프트웨어 기업, IT서비스 기업, 장비 공급업체 등을 포함한 IT분야가 전체 공격 표적의 44% 비중을 차지했다. 당초 주요 피해자로 알려진 재무, 국가안보, 건강보건, 통신 등 관련 정부기관이 18%였다. 공공기관의 정책을 지원하는 싱크탱크 및 비정부기구(NGO) 비중도 18%였다. 정부기관 가운데 국방 및 국가안보 조직을 지원하는 민간의 조달계약 업체(government contractor) 비중은 9%였고, 기타 업종 비중이 11%였다.
솔라윈즈가 지난 14일 미국 증권거래위원회(SEC)에 제출한 보고서에 따르면 해커가 악성코드를 퍼뜨리기 위해 업데이트 기능을 악용한 솔라윈즈의 오리온은 전 세계 1만7000여개 고객사에 설치돼 있다. 오리온 고객사의 IT환경에 이 악성코드가 설치되면 해커가 그 조직을 겨냥해 추가 공격을 수행할 수 있는 길을 터 주는 셈이 된다. MS는 이번 주중 진행한 추가 조사를 통해 이런 추가 공격 표적이 된 고객사가 40여곳에 달하는 것을 확인했다고 밝혔다.
스미스 사장은 "이번 사이버공격에 당한 고객들의 80% 가량은 미국에 있지만 이 공격 활동의 피해 고객은 북미 지역의 캐나다, 멕시코, 유럽 지역의 벨기에, 스페인, 영국, 중동 지역의 이스라엘과 아랍에미리트연합(UAE) 등 7개국에서도 확인됐다"면서 "피해 조직의 수와 지역 범위는 확실히 지속 증가할 것"이라고 덧붙였다. MS가 세계지도를 통해 제시한 악성코드 관련 피해 조직의 지도상 위치를 보면 브라질, 호주, 일본, 한국, 인도, 중국, 몽골에서도 발견된다. 러시아에는 없다.
스미스 사장은 이번 솔라윈즈 해킹사건이 러시아 정부 산하 첩보조직에 관련된 해커 집단의 소행이라고 지목했다. 그는 "러시아 엔지니어들은 2016년 미국 선거운동본부를 해킹하고 역(逆)정보로 유권자들에게 분열을 조장했고 2017년 프랑스 대선에서 이를 반복했다"며 "이 기술은 대다수 세계 민주주의국가를 포함하는 70여개국 피해자에 영향을 미쳤고, 그 사이버보안 영역의 약점을 파악하고 악용한 고유한 능력이 이번 공격에도 반영됐다"고 지적했다.
외신들은 이번 해킹사건의 배후를 'APT29' 또는 '코지베어(Cozy Bear)'라 불리는 러시아 해커집단으로 지목하고 있다. 워싱턴포스트 보도에 따르면 이 해커집단은 러시아 해외정보국(SVR) 소속으로, 앞서 버락 오바마 대통령 재임 기간에 미국 국무부와 백악관의 이메일 서버를 해킹하기도 했다. 올해 7월께 미국, 영국, 캐나다 첩보기관에선 이 해커그룹이 옥스퍼드대학교와 제약사 아스트라제네카의 코로나19 백신개발 공동연구의 정보 탈취를 시도했다고 밝히기도 했다.
이날 MS는 해커가 유포한 악성코드가 설치됐으나 제품관련 시스템에는 접근하지 못해 고객에는 피해가 없다고 밝혔다. 이번 해킹 사건은 지난 14일 미국 사이버보안 기업이자 해킹 피해자인 파이어아이의 발표로 처음 알려졌다. 해커는 파이어아이 기업 내부에 침입해 파이어아이가 제작한 모의 해킹툴 등을 탈취했다. 미국 정부기관 가운데 핵안보국(NNSA), 국립보건원(NIH), 국토안보부, 국무부, 에너지부, 미국 3개 주와 오스틴 시 등이 피해대상으로 함께 언급됐다.
한국에서도 솔라윈즈 해킹 관련 추가 피해에 대비하고 있다. 이와 관련한 피해 사례는 발견되지 않았다.