FBI가 알려 조사 시작...누군가 불법 침입한 흔적 드러나
시트릭스 서비스나 제품의 침해는 아닌 듯...이란 해커 의심돼

[보안뉴스 문가용 기자] 소프트웨어 제조사인 시트릭스(Citrix)가 “네트워크에 누군가 침투하고 데이터 일부를 탈취해갔다”는 사실을 인정하고 수사에 착수했다. 외부인의 소행으로 보이며, FBI가 시트릭스 측에 알림으로써 해킹 사실을 인지했다고 한다.


아직까지 정확히 어떤 정보가, 얼마나 많이 사라졌는지는 정확히 밝혀지지 않고 있다. 다만 시트릭스의 발표문에 의하면 외부의 공격자들이 업무상의 서류들(business documents)을 다운로드 했다고 한다.

FBI는 지난 3월 6일 시트릭스 측에 연락해 “당사가 공격을 당한 것으로 보이는 증거들을 확보한 상태”라고 알렸으며, “조사를 시작하라”고 권고했다. 이에 시트릭스는 외부 보안 전문 업체들과 계약을 맺고 수사를 시작했고, FBI가 맞았다는 것을 확인할 수 있었다고 한다.

시트릭스는 “현재 시점까지는 정확히 어떤 문서에 공격자들이 불법 접근을 했는지 알 수 없다”며 “시트릭스의 제품이나 서비스 자체가 침해되었다는 증거도 찾을 수 없는 상태”라고 주장했다. 또한 일부 데이터가 삭제된 것으로 알려져 있는데, 이 데이터에 대해서도 별다른 언급이 없었다.

FBI는 “공격자들이 브루트포스 공격 기법을 사용해 시트릭스 시스템 내 사용되고 있는 비밀번호 중 약한 것을 알아냈을 수도 있다”고 시트릭스 측에 알렸다. 비밀번호를 알게 된 공격자는 탐지되지 않은 채 침투하여 시트릭스 네트워크 내에서 횡적으로 움직이며 여러 가지 데이터에 접근할 수 있게 된다.

한편 보안 업체 리시큐리티(Resecurity)는 이란의 해킹 단체인 이리디움(IRIDIUM)이 시트릭스를 공격했다고 주장하고 있다. 이리디움은 최근 호주 의회를 해킹한 것으로 의심 받고 있는 해킹 단체이며, 리시류리티는 2018년 12월부터 시트릭스를 겨냥한 공격의 징후를 발견해 알렸다고 말했다. 이리디움은 전 세계 200여곳이 넘는 단체들을 겨냥해 공격한 전적을 가지고 있기도 하다.

시트릭스는 ‘서비스형 워크스페이스(Workspace as a Service)’ 소프트웨어를 만드는 회사로, 항상 보안이 철저한 것을 자랑해왔다. 홈페이지의 ‘About Us’란을 들어가 보면, “사람들과 조직, 그리고 사물들이 안전하게 연결되고, 서로가 서로에게 안전하게 접근할 수 있는 세상을 만드는 것이 기업의 목표”라고 나와 있는 걸 볼 수 있다. 그 다음 회사 소개 문구에도 안전과 관련된 설명이 반복해서 나온다.

시트릭스는 전 세계적으로 40만 개 고객사를 가지고 있는 대형 소프트웨어 업체로, 포춘지 선정 500대 기업의 98%가 시트릭스의 고객이기도 하다. 따라서 이번 해킹 공격으로 인한 영향력이 꽤나 클 수 있을 것으로 예상된다. 그것이 기밀 문서가 아니라 ‘업무용 서류’라고 해도 말이다. 또한 한국에서도 활발하게 사업을 펼치고 있기도 하다.

시트릭스를 사용하는 고객들이라면 모든 계정의 비밀번호를 바꾸고 저장된 데이터를 안전한 곳에 백업할 것이 권고된다.

3줄 요약
1. 기업용 소프트웨어 제조사 시트릭스의 네트워크에 누군가 침입.
2. 고객들의 사업용 문서가 다운로드 되거나 삭제됨. 정확한 규모나 구체적인 내용은 아직 알 수 없음.
3. 한 보안 업체는 이란 해커들의 소행이라고 주장.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>