네트워크 모니터링 서비스 및 솔루션 업체인 솔라윈즈는 자못 억울하다. 미국 최악의 해킹 사고에 ‘솔라윈즈 사태’라는 이름이 벌써 붙어버렸기 때문이다. 심지어 공격자들이 오로지 솔라윈즈를 통해서만 공격을 펼친 것도 아니었다고 한다.

[보안뉴스 문가용 기자] ‘솔라윈즈 사태’의 이름을 다시 붙여야 할 상황이 되었다. 애초에 알려진 것처럼 공격자들이 솔라윈즈(SolarWinds)의 소프트웨어 업데이트 파일을 감염시켜 침투한 전략이 이 사건의 전부가 아니기 때문이다. 이러한 상황을 CISA의 수장인 브랜든 웨일즈(Brandon Wales)가 발표했다.


웨일즈의 발표 내용은 간단히 정리해 다음과 같다. “해커들은 솔라윈즈 업데이트 파일 외에도 여러 가지 수법을 통해 조직들에 침투해 들어갔다.” CISA가 조사한 결과 이번 캠페인의 배후에 있는 공격자들의 침투에 당한 조직들 중 솔라윈즈가 아닌 다른 경로로 피해를 입은 조직은 30%나 된다고 한다. 1/3은 솔라윈즈가 아니라 다른 방법으로 침해된 것이다.

현재까지 밝혀진 침투 방법에는 다음과 같은 것들이 있다고 한다.
1) 관리자 크리덴셜 훔치기
2) 비밀번호 살포(password spraying : 일종의 무작위 대입 공격)
3) 비밀번호 추측
4) MS의 오피스 365 침해
하지만 아직 모든 침투 경로와 전략이 다 드러난 건 아니다. 솔라윈즈와 관련이 없음에도 피해를 입은 조직들에는 마이크로소프트, 파이어아이, 멀웨어바이츠 등이 있다.

다음과 같은 굵직한 미국 연방 정부 기관 중에서도 피해가 발견됐다.
1) 국방부
2) 연방법원
3) 재무부
4) 상무부
5) 노동청
6) 국무부
7) 사법부
8) 에너지부의 핵안보실
솔라윈즈 사태는 미국 역사상 최악의 해킹 사건으로 벌써부터 꼽히고 있다.

한편 월스트리트저널의 보도에 의하면 솔라윈즈도 자체적으로 이번 캠페인에 대해 조사하고 있는데, 특히 공격자들이 마이크로소프트의 클라우드를 통해 최초로 침투했을 가능성을 높이 보고 있다고 한다. 물론 이는 솔라윈즈가 세워 둔 여러 가지 가설 중 하나다. MS를 겨냥한 표적 수사가 진행되고 있는 것 역시 아니라고 한다.

미국의 정보 기관들은 합동으로 성명서를 발표해 러시아가 배후에 있을 가능성이 가장 높다고 지목했다. 바이든 대통령은 이번 사건의 배후 세력(culprit이라고 지칭함)들이 톡톡한 대가를 치르게 될 것이라고 하며, 연방 기관의 보안을 위해 100억 달러의 예산을 책정하기로 했다. 이번 사건의 영향을 받은 대부분의 포춘 1000대 기업들 역시 서드파티 보안 강화를 위해 나섰다.

보안 블로그 시큐리티 불러바드(Security Boulevard)의 조시 코헨(Josh Cohen)은 보안 전문가들이 일단 가장 쉬운 조치들부터 다 취해야 한다며 “업데이트 적용, 필요한 패치 적용, 비밀번호 재설정, 설정 점검”을 꼽았다. 그런 다음 “제품과 서비스의 설계 단계에서부터 보안을 고려하는 ‘security by design(보안 내재화)’을 정착시켜야 한다”고 강조했다. 일부 외신들에서는 솔라윈즈 직원들의 증언이라고 하며 “솔라윈즈가 보안 내재화를 잘 정착시키지 못했다”고 보도하기도 했다. 그 후에는 자동화 기술을 통한 서드파티 보안 점검을 주기적으로 실천하라고 권장하기도 했다.

이스라엘의 서드파티 보안 전문 업체인 파노레이스(Panorays)는 2000개의 서드파티 업체들과 3만 7천여 개의 포스파티(fourth party : 서드파티의 서드파티)들을 조사해 “사이버 보안 기능이 제대로 수립된 서드파티 업체들이 일반적으로 보다 안전한 포스파티들을 두고 있었다”는 결과를 발견하기도 했었다.

3줄 요약
1. 솔라윈즈 사태 일으킨 공격자들, 다양한 방법으로 조직들에 침투했음.
2. 즉, 솔라윈즈 만이 유일한 공격 통로가 아니었던 것. 30%나 다른 방법으로 피해 입음.
3. 솔라윈즈는 지금 MS를 통한 침투 가능성을 염두에 두고 조사 벌이고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>