지난해 12월 미국은 법무부, 재무부, 에너지부, 상무부, 주정부 등 주요 기관에 해커가 침입한 사실을 알아차렸다. 해커는 심지어 미국 핵 비밀까지 접근한 것으로 알려졌다. 이 사건은 미국 역사에 기록될 만한 사이버 침해다. 이 사건은 선버스트(Sunburst) 공격으로 불린다. 보안 전문가들은 선버스트 공격이 발각되기 최소 9개월 전부터 이뤄진 것으로 보고 있다. 공격자는 네트워크 관리 솔루션 기업인 솔라윈즈 취약점을 이용했다. 솔라윈즈 제품 업데이트때 악성코드를 설치했다. 이 업데이트가 솔라윈즈를 사용하는 1만8000개 고객에 배포됐다. 해커가 드나들 수 있는 백도어가 생성됐고 기밀이 유출 됐을 것으로 보고 있다.선버스트 공격은 사이버 보안 기업 파이어아이가 자체 네트워크가 해킹당했다고 공개하면서 그 실체가 드러났다. 관련기사 파이어아이는 어떻게 내부 침해를 인지했을까?
글로벌 보안 기업 파이어아이가 해킹당했다고 밝힌 후 미 재무부 등에서 연이어 침해 흔적이 발견됐다. 코로나19에 이어 사이버 해킹, 정권교체까지. 미국 정부는 그 어느 때보다 혼란스러운 상황이다. 사이버 공격은 공격원점(Attribution)이 어디인지, 많은 중요 정보가 유출됐는지 파악하기 어렵다. 세상에는 두 종류 기업이 있다. 해킹 당한 기업과 당한 걸 인지하지 못한 기업이다. 보안 기업은 해킹을 100% 완벽히 차단할 방법은 없다고 말한다. 공격자 침투를 빨리 찾아내 피해를 최소화하는데 주력한다. 그 어디에도 해커의 공격을 100% 차단할 방법은 없다. 해커는 단 1%의 가능성에서 침투 통로를 찾아낸다. 파이어아이와 미 정부기관 해킹사고를 보면 피해 최소화 노력이 돋보인다. 파이어아이는 해킹 상황을 인식했다. 이를 정부에 알리고 고객 피해 최소화에 노력했다. 고객의 사이버 보안을 지키는 회사가 해킹을 당했다는 사실 자체가 치욕적이다. 많은 보안 기업은 가능한 이런 일이 외부로 알려지는 것을 원치 않는다. 한국 기업은 더 말해서 무엇하겠는가.
파이어아이 핵심 자산 탈취글로벌 사이버 보안 기업인 파이어아이가 국가지원 해킹그룹에 공격을 받았다. 파이어아이 레드팀(Red Team)이 보유하던 취약점 평가 도구가 유출된 것으로 알려졌다. 레드팀 취약점 평가도구는 사이버 보안 기업의 핵심 자산이다. 뉴욕타임즈는 러시아 정보기관이 지원하는 것으로 추정되는 해킹 조직이 파이어아이에 침투했다고 보도했다. 파이어아이는 현지시간 8일 ‘최고 수준의 공격 능력을 가진 국가지원 조직'에 의해 내부 시스템이 침해 당했다고 밝혔다. 파이어아이는 8일 밤 FBI에 신고하고 마이크로소프트를 포함한 주요 파트너와 협력해 조사를 진행중이다. 해커는 파이어아이가 고객 시스템 보안 취약점을 테스트하는데 사용하는 레드팀 평가도구를 탈취한 것으로 알려졌다. 해커는 평가도구를 공격 무기로 쓸 수 있다. 파이어아이는 레드팀 도구 사용을 감지하는 방법과 수단을 공개해 피해를 최소화한다고 설명했다. 공격자가 레드팀 도구를 사용하거나 공개할 의도가 있는지는 확실치 않다. 해커는 주로 탈취한 도구를 다크웹에 공개하거나 다른 조직을 해킹할 때 사용한다. 파이어아이는 블로그에 파이어아이 제품 보안 대책을 구현했다고 밝혔다. 깃허브에 대응 방법도 올렸다. 레드팀 도구에 대한 추가 완화 조치가 공개되면 보안 파트너와 공유한다고 덧붙였다.
