솔라윈즈: 파이어아이가 내부 침해를 인지한 결정적 순간

지난해 12월 미국은 법무부, 재무부, 에너지부, 상무부, 주정부 등 주요 기관에 해커가 침입한 사실을 알아차렸다. 해커는 심지어 미국 핵 비밀까지 접근한 것으로 알려졌다. 이 사건은 미국 역사에 기록될 만한 사이버 침해다. 이 사건은 선버스트(Sunburst) 공격으로 불린다. 보안 전문가들은 선버스트 공격이 발각되기 최소 9개월 전부터 이뤄진 것으로 보고 있다. 공격자는 네트워크 관리 솔루션 기업인 솔라윈즈 취약점을 이용했다. 솔라윈즈 제품 업데이트때 악성코드를 설치했다. 이 업데이트가 솔라윈즈를 사용하는 1만8000개 고객에 배포됐다. 해커가 드나들 수 있는 백도어가 생성됐고 기밀이 유출 됐을 것으로 보고 있다.

선버스트 공격은 사이버 보안 기업 파이어아이가 자체 네트워크가 해킹당했다고 공개하면서 그 실체가 드러났다. 관련기사

파이어아이는 어떻게 내부 침해를 인지했을까?

캐빈 맨디아 파이어아이 CEO는 60분(60 Minutes)에 출연해 과정을 설명했다. 파이어아이가 침해를 인지할 수 있었던 것은 ‘이중인증(two-factor authentication)’ 덕이었다. 파이어아이도 다른 테크 기업처럼 팬데믹으로 인한 원격근무가 늘어났다. 파이어아이는 이중인증을 이용해 사내 네트워크에 접속한다. 회사 네트워크에 접속하려면 계정 ID와 비밀번호 외에 미리 설정한 휴대폰으로 일회용 비밀번호가 전송된다. 해당 번호를 입력해야 네트워크 접속이 가능하다.

파이어아이는 11월 직원 한 명의 이름으로 두 대의 휴대폰이 등록됐다는 사실을 발견했다. 기업은 해커가 ID와 비밀번호를 탈취한 후 부정 접속을 막기 위해 이중인증을 도입한다. 파이어아이에 침투한 해커는 이중인증 휴대폰을 등록하는 작업까지 수행한 것이다. 파이어아이는 어떻게 해커가 이 과정까지 들어갔는지에 대한 구체적인 내용은 밝히지 않았다.

파이어아이 보안팀은 해당 직원에게 연락해 2대의 휴대폰을 등록했는지 물었다. 직원은 본인이 한 일이 아니라고 말했다. 해커가 파이어아이 네트워크에 접속하기 위해 등록한 휴대폰이었다.

파이어아이는 의심스러운 이중인증 휴대폰을 발견하고 내부 침해를 찾기 시작했다. 맨디아 CEO는 “공격자가 내부 네트워크에서 직원을 사칭해 파이어아이 테스트 도구를 훔치는 것을 발견했다. 해커는 그들이 어떻게 침입했는지에 대한 증거를 남기지 않았다. 피싱이나 악성코드도 없었다"고 설명했다.

파이어아이는 내부가 침해된 것을 파악하고 모든 인력을 총동원해 네트워크와 시스템 전체의 의심스러운 활동 흔적을 뒤졌다. 이 결과 공통적으로 발견된 것은 솔라윈즈 시스템이었다. 이를 바탕으로 파이어아이는 12월 13일 전세계에 선버스트 공격을 공개했다.

이번 사건에 대해 크리스 잉글리스 전 국가안보국(NSA) 부국장은 “지금 침해된 시스템에서 악성코드 등을 완전히 제거하는 것은 어렵다. 공격자가 어디로 갔는지, 악성코드가 어디에 있는지 아직도 파악이 안됐다. 사실 완전히 제거했다고 확신할 유일한 방법은 하드웨어를 교체하거나 시스템을 제거하는 것이다.”고 말했다.

한편, 국회 상원 정보위원회는 23일(현지시간) 선버스트 공격과 관련된 청문회를 열였다. 이 자리에서 법무부는 마이크로소프트 이메일 계정의 약 3% 정도가 침해되고 부정 접속에 이용됐다고 밝혔다. 미국 관리들은 솔라윈즈 외에 다른 취약성과 공격 방법이 사용됐다고 언급했다. 상원은 아마존에도 증인 출석을 요구했지만 나오지 않았다.