솔라윈즈 사태는 유례없는 공급망 공격 사태로 알려져 있지만, 달리 보면 최악의 상황을 일찍 막은 사례이기도 하다. 그리고 그렇게 할 수 있었던 것은 민관의 은밀하고 재빠른 협조가 있었기 때문이다.

[보안뉴스 문가용 기자] 2020년 추수감사절 휴일 직전의 일이었다. 보안 업체 파이어아이(FireEye)의 CEO였던 케빈 맨디아(Kevin Mandia)는 급하게 미국의 포트미드 시로 차를 몰았다. 그리고 NSA 요원들을 만나 파이어아이에서 발견된 사이버 공격에 대해 알렸다. 공격자들의 기술 수준도 높았는데 공격 자체가 무척이나 거세고 적극적이었기 때문이다. 지난 수년 간 해외 세력의 해킹 공격을 조사해 온 그에게 이 사태는 불길한 느낌을 진하게 주었다.


“처음부터 ‘러시아 첩보부가 배후에 있다’는 걸 본능처럼 느낄 수 있었습니다. 그리고 ‘러시아 첩보부가 파이어아이라는 회사만 노렸을 리가 없다’는 생각도 지울 수가 없었습니다. 그런데 지금 이 사태에 대해 아무도 모르고 누구도 얘기하지 않는다? 안 좋은 예감이 퍼뜩 들었죠. 심각한 사건이 터질지 모른다는 불안감이 엄습했습니다. 국가적 차원의 위기가 될 가능성도 높다고 봤고 곧바로 NSA에 연락을 했습니다.”

하지만 맨디아는 그날 NSA 요원들과 만난 사실을 공개하지 않았다. 맨디아의 등골을 오싹하게 했던 그 사건은 결국 ‘솔라윈즈(SolarWinds) 사태’라는 이름으로 세상을 떠들썩하게 했지만 맨디아가 NSA를 미리 만나 경고했다는 사실은 오늘에서야 처음 드러났다. 미국 사이버사령부 지휘관인 폴 나카소네(Paul Nakasone)가 기조연설을 통해 밝히면서였다. 덕분에 NSA는 솔라윈즈 캠페인에 대한 조사를 빠르게 시작할 수 있었다고 사실상 맨디아를 크게 칭찬했다.

나카소네가 파이어아이의 이야기를 한 건 민관 협조 체계의 중요성을 강조하기 위해서였다. “케빈 맨디아는 해외 적대 세력의 공작이라고 보기에 충분할 만한 자료들을 가지고 NSA를 찾았습니다. 그 덕분에 NSA와 정보 기관들은 조사를 시작할 수 있었고, 솔라윈즈 사태의 근간이 되는 취약점들과 공격자들의 기술력에 대해 보다 빠르게 간파할 수 있었습니다.” 그리고 결국 미국 정부는 솔라윈즈의 배후 세력이 러시아의 첩보 기관인 SVR이었다고 발표하는 데에까지 이르렀다.

나카소네는 기조 연설을 통해 “NSA의 전문가들이 추적 끝에 새로운 멀웨어를 발견할 수 있었고, 공격자들의 행위를 중단시킬 수 있었다”고 설명했다. 맨디아의 빠른 움직임 덕분에 공격자들을 발견하고 위협 행위를 단절시키는 시간이 크게 단축되었다는 것이다. 그 시간 단축 덕에 공격자들이 할 수 있었던 행위와 빼앗아 갈 수 있었던 정보들도 줄어들었다는 게 나카소네의 설명이다. “첩보원들이 가장 피하고 싶은 건 한창 공격을 진행하는 중에 발각되는 겁니다. 이번 솔라윈즈 사태에 미국이 피해를 입긴 했지만, 러시아 스파이들이 첩보 캠페인을 1년도 진행하지 못한 사례는 꽤나 드뭅니다.”

나카소네는 솔라윈즈 사태가 미국이라는 국가 전체의 전환점이 되었다고 주장했다. 일방적인 미국의 피해로 끝날 뻔한 사태가 전환점이 될 수 있었던 건 파이어아이와 NSA의 파트너십 덕분이라고 그는 강하게 말했다.

한편 맨디아는 솔라윈즈 사태를 처음 접했을 때 90년대 중반 자신이 직접 대응했던 러시아 해커들의 공격 캠페인과 비슷한 패턴이 있음을 파악했다고 한다. “복잡하게 생각할 게 없었어요. 러시아의 SVR의 냄새가 강하게 나고, 공격자들이 상당히 공세적으로 나서고 있다는 것만으로도 도움을 요청해야 한다는 계산이 섰죠. 다행히 그 동안 정부 기관들과 여러 가지 사업을 해왔기 때문에 어디에 연락을 할지 알고 있었고요.”

이 공격이 정보 기관의 눈에 띄지 않았던 건 아니다. 다만 공격자들이 일부러 미국의 IP 주소들로부터 공격을 진행했기 때문에 정보 기관의 관심에서 벗어날 수 있었다고 한다. 맨디아는 “각자의 사정이 있기 때문에 정보 기관이 더 잘 볼 수 있는 게 있고 민간 기업이 더 잘 볼 수 있는 게 있다”며 “서로의 가시성을 합쳤을 때 전체적인 그림이 완성되는 건 당연한 일”이라고 말했다.

또 맨디아는 “우리 회사가 공격을 허용했다는 사실을 공개하는 게 쉽지 않았다”는 사실을 인정했다. “게다가 저희는 보안 문제를 해결해 준다고 광고하는 회사잖아요. 그런 회사가 오히려 피해자가 됐다? 망신스럽죠. 하지만 생각을 바꾸기로 했어요. 사건 대응에 특화되어 있는 회사인 만큼 더 현명한 피해자가 될 수 있다고 말이죠. 당한만큼 되돌려주는 건 저희의 사건 대응력을 발휘하는 거였습니다.” 피해자였던 만큼 공격자를 가장 가까이서 확인할 수 있다는 장점을 파이어아이는 이용한 것이다.

맨디언트는 “공격을 당했을 때 가만히 있지 않고 분석해서 정체를 밝혀내고 퇴치시킬 수 있다는 게 파이어아이의 특권이었다”며 “반대로 다른 기업들이 당하면 똑같이 되갚아줄 수 없다는 게 안타깝다”고 발언을 이어갔다. “보안에 특화되지 않은 기업이 훨씬 많은 상황에서, 공격자들은 끊임없이 쳐들어 올 것입니다. 그리고 자신들이 원하는 걸 유유히 가져가겠죠. 솔라윈즈 사태는 어쩌면 우리에게 대단한 행운이었을 수 있습니다.”

3줄 요약
1. 솔라윈즈 사태를 처음 발견한 맨디언트, 곧바로 NSA에 신고.
2. 보안 업체가 사이버 공격당한 걸 공개하는 게 부끄러웠지만 오히려 더 파헤쳐 되갚아주기로 함.
3. NSA는 빠르게 조사를 시작해 러시아의 스파이 캠페인을 1년 안에 무력화시킬 수 있었음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>