서드파티 해킹 사고가 발생했다. 모건 스탠리의 파트너사 중 하나를 통해 해커들이 모건 스탠리에 접근하는 데 성공한 것이다. 이 파트너사는 액셀리온 FTA라는 오래된 소프트웨어를 통해 뚫린 것으로 밝혀졌다.

[보안뉴스 문가용 기자] 대형 투자회사 모건 스탠리(Morgan Stanley)에서 정보 유출 사고가 발생했다. 모건 스탠리의 파트너사 중 하나에서 사고가 발생하는 바람에 모건 스탠리의 고객 정보 일부가 새나간 것이라고 한다. 그리고 이 파트너사는 액셀리온(Accellion)의 FTA를 사용하던 곳이었다.


액셀리온의 FTA는 오래된 파일 전송 시스템으로, 2020년 12월과 2021년 1월 사이에 해킹됐었다. FIN11이라고 알려진 사이버 범죄 그룹이 FTA에서 몇 가지 취약점들을 발견해 익스플로잇 한 것이다. 액셀리온 FTA를 사용하던 고객사가 워낙 많아서 전 세계적으로 많은 피해가 있었다. 그 중 하나가 가이드하우스(Guidehouse)라는 기업으로, 모건 스탠리의 계정 유지 관리를 대행해주고 있던 곳이었다.

모건 스탠리가 지난 주 유관 기관에 제출한 서류에 따르면 가이드하우스가 이러한 해킹 사고 소식을 모건 스탠리 측에 알린 건 지난 5월의 일이었다고 한다. 어떤 해커들이 액셀리온 FTA를 익스플로잇 해 모건 스탠리의 문건 일부에 접근하는 데 성공했고, 그 문건들에 일부 개인정보가 포함되어 있었다는 내용이었다.

문건은 암호화 된 상태로 보관되어 있었다고 모건 스탠리는 설명했다. 하지만 공격자는 액셀리온 FTA의 취약점을 통해 이 암호화 기술을 풀어주는 복호화 키까지 획득하는 데 성공했다고 한다. 암호화라는 규정을 지켰지만 소용이 없었다는 뜻이다.

스탠리가 진행하는 일부 사업 참여자들의 이름, 주소, 생년월일, 사회 보장 번호, 기업 이름 등이 여기에 포함되어 있는 것으로 알려져 있다. 하지만 금융 계좌에 접근할 수 있게 해 주는 비밀번호는 문건에 저장되어 있지 않다고 모건 스탠리 측은 주장했다.

한편 가이드하우스 측은 액셀리온에서 FTA 패치를 발표하고서 5일 내에 적용 완료했다고 한다. 공격자들은 이 5일 사이에 취약점 익스플로잇을 진행한 것으로 보인다. 안타깝게도 이러한 사실은 올해 3월까지 전혀 탐지되지 않았다. 3월에서야 이상한 점을 발견한 가이드하우스는, 5월에 가서야 그 사건이 모건 스탠리 측에도 영향을 줬음을 알게 되었다고 한다.

아직 모건 스탠리 측은 피해 규모에 대해 정확히 공개하지 않고 있다. 다만 유관 기관에 제출된 문건을 통해 “108명의 뉴햄프셔 주민들이 영향을 받았다”고만 알렸을 뿐이다.

최근 발생한 카세야 VSA(Kaseya VSA) 사태가 이 액셀리온 FTA 사건에 비유되고 있다. 카세야 사태에서는 레빌(REvil)이라는 랜섬웨어 갱단이 카세야 VSA의 취약점을 익스플로잇 해 전 세계 약 1500개 조직들을 랜섬웨어에 감염시키는 데 성공했다.

3줄 요약
1. 올해 초 발생한 액셀리온 사태의 새로운 피해자 나옴.
2. 그건 바로 가이드하우스라는 모건 스탠리의 서드파티 업체.
3. 모건 스탠리의 고객 일부도 개인정보 유출되는 사고 겪음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>