미·러 정상회담 아랑곳 않는 해커들…솔라윈즈 이어 카세야 해킹

[사진=게티이미지뱅크 ]

러시아 배후의 해커 소행으로 의심되는 해킹에 의해 다수의 고객사에 도입된 정보기술(IT) 제품을 거쳐 악성코드를 유포하는 '공급망 공격'이 발생해 파장이 번지고 있다. 지난달 미국이 러시아 측에 사이버공격 배후세력에 대한 단속을 요구한 미국·러시아 간 정상회담 직후였지만, 유사한 문제가 재발한 것이다.

미국 원격 모니터링·관리 소프트웨어(SW) 업체인 카세야(Kaseya)의 사례다.

5일 업계에 따르면 카세야는 최근 자사 제품을 사용하는 관리형서비스사업자(MSP)에 대한 랜섬웨어 공격이 발생했다며 일시적으로 해당 제품 사용을 중단하라고 권고했다.

랜섬웨어 공격의 경유지로 전락한 문제의 제품은 서버용 IT원격관리 프로그램인 '카세야 VSA'다. 카세야 VSA는 대기업 전산담당부서·전문계열사나 MSP같은 IT관련 서비스 공급업체들이 IT아웃소싱을 수행하는 기업 고객사 컴퓨터·네트워크 시스템의 SW 관리와 업데이트를 자동화할 수 있도록 돕는다. 카세야 VSA가 해커에게 악용되면 이 프로그램으로 관리되는 수많은 시스템이 악성코드에 감염되고 정보를 유출·손실당하거나 시스템이 다른 해킹공격의 경유지로 전락할 수 있다.

관련기사

• ​KISA, 美카세야 랜섬웨어 공격받아...“사용 중단 권고”

지난 2일 카세야는 VSA를 사용하는 3만6000여개 고객사 중 약 40곳이 해커의 공격을 받아, VSA와 관련된 잠재적 공격 가능성을 인지하고, 예방조치로 자사 온라인 서비스의 서버를 닫았다고 밝혔다. 자사 온라인 서비스보다는 자체 서버로 VSA를 운영하는 기업들이 주로 피해를 입었으며, 고객사에 이메일, 전화, 제품 내 알림 등을 통해 VSA 서버 운영 중단을 권고했다고 설명했다.

앞서 한국인터넷진흥원(KISA)도 "최근 카세야의 VSA를 사용하는 MSP에 대한 공급망 랜섬웨어 공격이 발생했다"라고 밝혔다. KISA의 침해대응단 상황관제팀은 임시 대응 방안으로 "카세야 측의 공지가 있을 때까지 VSA 사용을 중단할 것"을 권고했다. KISA는 이후 5일 현재까지 카세야 VSA 제품과 관련해 국내에서 접수된 피해 신고는 없다고 밝혔다.

카세야는 자체 서버로 VSA를 운영 중인 기업들에게 추가 공지 전까지 모든 사내 VSA 서버를 오프라인으로 유지하라고 권고했다. VSA를 재시작하기 전에 보안수준을 높이는 방안에 대한 일련의 권고사항과 설치돼야 하는 패치를 염두에 둘 것을 강조했다. 또 "랜섬웨어 공격을 받고 공격자들로부터 연락을 받은 고객들은 (이메일 등의) 어떤 링크도 클릭하지 말라"는 전문가들의 조언을 전했다.

자체 온라인 서비스로 VSA를 사용하는 고객사들에게는 오는 5일(현지시간)부터 지역별로 순차 복구를 진행할 계획이라고 밝혔다.

이번 카세야 VSA 해킹은 작년 발생한 '솔라윈즈(SolarWinds)'의 IT 모니터링 SW를 경유한 악성코드 유포 사건과 유사하다. 작년 3~6월 발생한 해킹 공격의 영향을 직접 받은 기업 중 한 곳인 마이크로소프트(MS)가 작년 12월 자체 조사 결과를 발표했다. 미국 국무부, 국방부, 항공우주국(NASA) 등 솔라윈즈 SW를 사용 중인 다수 정부기관과 민간기업에 해킹 피해 가능성이 거론됐다.

이 발표 직후인 올해 초 취임한 조 바이든 미국 대통령은 지난달 블라디미르 푸틴 러시아 대통령과의 정상회담에서 미국을 상대로 한 사이버공격을 막아달라고 요구했다. 두 정상은 전문가 협의를 통해 사이버 공격이 금지돼야 할 핵심 기간 시설을 규정하기로 합의했고, 러시아 연방보안국(FSB)은 지난달 모스크바 국제 안보 콘퍼런스 개막연설에서 미국과 협력해 랜섬웨어공격을 차단하겠다고 발언하기도 했다.

그런데 공격을 감행한 해커들은 미·러 양국 간 정상의 합의를 아랑곳하지 않는 모습이다. 보안 전문가들은 이번 카세야 VSA 해킹 사건도 러시아와 연계된 해커그룹을 배후로 추정하고 있다. 보안 기업 헌트리스랩스의 존 해먼드 연구원과 뉴질랜드 사이버침해사고대응팀(CERT) 등은 카세야 해킹이 러시아 연계 해커그룹 '레빌(REvil)'로 추정된다고 언급했다.