솔라윈즈 사태에 대한 수사가 아직도 이어지고 있다. 피해자 중 하나로 밝혀진 마임캐스트는 오늘 “공격자들이 일부 소스코드도 훔쳐갔다”고 발표했다. 새로운 사실이 드러난 것으로, 공격자들의 ‘횡적 움직임’ 능력이 얼마나 무섭고 은밀한지를 다시 한 번 상기할 필요가 있다.

[보안뉴스 문가용 기자] 마임캐스트(Mimecast)의 내부 시스템에 접근하는 데 성공한 솔라윈즈(SolarWinds) 공격자들이 생각보다 많은 정보를 마임캐스트로부터 가져간 것이 확인됐다. 작년 말에 발생한 솔라윈즈 사태를 마임캐스트는 아직 조사 중에 있는데, 최근 공격자들이 소스코드 리포지터리들에 접근했다는 사실이 드러났다고 발표했다. 그 외에 일부 고객들의 크리덴셜과 연락처 정보에도 접근한 것으로 나타났다.


마임캐스트의 설명에 의하면 공격자들이 접근해 가져간 것으로 보이는 소스코드들은 불완전한 상태였으며, 따라서 마임캐스트 고객들에게 미칠 영향은 미비할 것으로 예상된다고 한다. “공격자들이 접근한 소스코드만으로는 뭔가를 구축하거나 마임캐스트 서비스의 일부라도 흉내 내는 게 불가능합니다. 일부 조각만 가져갔기 때문입니다.” 또한 소스코드를 임의로 변경했다는 증거나 흔적을 찾을 수도 없었다고 한다.

마임캐스트는 솔라윈즈의 고객사 중 하나로, 사건 초기에서부터 ‘피해자’로 분류됐었다. 공격자들이 사용했던 공격 도구인 선버스트(Sunburst)가 네트워크 내에서 발견되기도 했었다. 참고로 선버스트가 설치된 솔라윈즈 고객사는 1만 8천 곳이 넘는 것으로 조사됐다. 다만 선버스트 이후 추가적인 익스플로잇이 진행된 곳은 비교적 적은 것으로 나타났다. 마임캐스트는 그 ‘적은 곳’ 중 하나였다.

마임캐스트는 파이어아이(FireEye)와의 공동 조사를 통해 공격자들이 최초로 네트워크에 침투한 뒤 횡적으로 움직였다는 것을 알아냈고, 이를 통해 마임캐스트 제품 환경에도 접근하는 데 성공했다는 사실을 파악했다고 발표했다. 여기서 말하는 개발 환경이 바로 소스코드가 저장된 리포지터리들을 말한다. 영국과 미국의 고객들 중 일부의 연락처와 크리덴셜에도 접근했다고 한다. 하지만 크리덴셜의 경우 암호화 되어 있었기 때문에 공격자들이 사용할 수 없다고 마임캐스트는 강조했다. 이러한 사실은 사건 초기에 밝혀지지 않은 내용이었다.

보안 업체 컨플루에라(Confluera)의 CEO인 존 모건(John Morgan)은 “마임캐스트 발표로 인해 사건의 규모가 애초에 파악했던 것보다 훨씬 광범위할 수 있다는 가능성이 다시 한 번 제기되었다”고 말한다. “공격자들은 어딘가에 한 번 침투하고 나면, 그것을 발판 삼아 활발히 움직였습니다. 그러면서 여러 곳에 손길을 뻗쳤죠. 마임캐스트도 최근에야 그 손길이 닿은 곳을 더 발견한 것이고요. 솔라윈즈 사태에 영향을 받은 모든 조직들이 더 꼼꼼하게 점검을 해봐야 하는 이유입니다.”

또한 모건은 “공격자들의 횡적 움직임 능력을 간과해서는 절대 안 된다는 것도 이번 발표를 통해 우리가 배워야 할 점”이라고 지적했다. “최초 침투는 이제 거의 모든 해커들이 할 수 있는 일이 되었습니다. 문제는 침투 후 네트워크 내에서 어디까지 돌아다닐 수 있냐는 것이죠. 그런데 아직도 보안이라는 것을 최초 침투 행위를 억제하는 것이라고만 생각하려는 경향이 있습니다. 횡적 움직임을 염두에 두어야 더 큰 피해를 줄일 수 있습니다.”

마임캐스트는 새로운 피해 사실을 발표하며 고객들에게 “서버 연결용 크리덴셜을 재설정 하라”고 권고하기도 했다. 마임캐스트 역시 이번 사건과 관련이 있는 것으로 밝혀진 크리덴셜의 해시와 설트를 재설정했으며, 인증서와 암호화 키 전부 변경했다고 밝혔다. 솔라윈즈 오리온을 사용하는 모든 임직원들의 크리덴셜도 바꾸고, 이중 인증 옵션을 필수로 도입하기도 했다. 소스코드도 위험했다는 걸 파악한 후에는 임의 코드 변경이 이뤄지지 않도록 새로운 보호 장치를 덧붙였다고도 강조했다.

보안 업체 뉴넷테크놀로지스(New Net Technologies)의 부회장인 더크 슈레이더(Dirk Schrader)는 “마임캐스트가 나름 괜찮은 조치를 취하고는 있지만, 오늘의 발견이 좀 더 일찍 이뤄지지 않은 것은 아쉬운 것이 사실”이라는 의견이다. “이번에 마임캐스트가 새로이 도입한 변경 사항들을 미리 도입했더라면 피해가 발생하지 않았을 가능성이 높습니다. 최소한, 수사 초기에 정확한 피해 상황을 파악할 수는 있었겠죠. 어차피 사고 후에 할 투자, 미리 해두면 ‘해킹 공격에 당한 기업’이라는 이미지도 생기지 않았을 텐데 말입니다. 많은 조직들이 저지르는 실수이기도 합니다.”

3줄 요약
1. 솔라윈즈 공격자들, 마임캐스트에서 소스코드와 고객 정보 일부 가져감.
2. 마임캐스트는 소스코드가 불완전하고 크리덴셜에 암호화 처리가 되어 있어 공격자들이 활용할 정보는 별로 없을 것이라고 주장함.
3. 부랴부랴 보안에 투자하기 시작한 마임캐스트, 진작 했으면 더 좋았을 걸...
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>