HACKING

중국 해킹조직이 그동안 유출된 개인정보를 활용해 마이크로소프트 익스체인지 서버를 해킹한 것으로 드러났다. 월스트리트저널(WSJ)은 앤 뉴버거 바이든 행정부 내셔널 시큐리티 보좌관의 말을 인용해 기존에 유출된 수많은 개인정보가 이번 공격에 악용됐다고 보도했다. 최근 페이스북은 5억3300만명의 고객 정보를 유출했다. 페이스북의 고객 정보 유출은 이번이 처음이 아니다. 2017년 신용정보회사인 에퀴팩스(Equifax)에서 1억4300만명의 민감한 정보가 유출됐다. 2015년 오바마 행정부는 중국과 연결된 해킹 조직이 연방정부 인적자원사무소인 인사 관리실을 해킹한 사실을 발견했다. 해커들은 20년 동안 수백만건의 정부와 기업 내 개인정보를 훔쳤다. 해커는 이렇게 유출된 개인정보를 활용해 특정 시스템에 접속할 수 있는 ID로 활용하며 국가 안보를 위협하고 있다. 앤 뉴버거 보좌관은 “공격자는 그동안 수많은 개인정보와 암호 등을 수집했다. 공격자는 대규모 유출 정보를 관리하고 있다"고 말했다.

디어크라이(DearCry) 랜섬웨어 공격이 발생했다.마이크로소프트는 자사 익스체인지 서버 취약점을 악용한 디어크라이 랜섬웨어 공격을 확인했다. 2017년 5월 12일 전세계를 강타했던 워너크라이(WannaCry)처럼 급속도로 확산될 수 있어 보안 대책 마련이 시급하다.워너크라이는 세계 150여개국에서 최소 30만대 이상 컴퓨터 시스템에 영향을 끼쳤다. 워너크라이는 윈도 통신 프로토콜 중 하나인 SMB(Server Message Block) 취약점(CVE-2017-0144)를 이용해 급속도로 확산했다. 워너크라이 공격이 나오기 전 마이크로소프트가 보안 패치를 내놨는데 업데이트가 되지 않은 서버와 PC가 피해를 입었다.디어크라이 제2의 워너크라이 사태 불러오나디어크라이가 제2의 워너크라이가 될 가능성을 배제할 수 없다. 디어크라이는 마이크로소프트 익스체인지 서버 취약점을 이용한다. 마이크로소프트는 해당 제로데이 취약점 4개를 공개하고 보안업데이트를 내놨다. 마이크로소프트는 지난 3일(현지시간) 보안대응센터에 익스체인지 서버 취약점을 막는 보안 업데이트를 올렸다. 익스체인지 관련 취약점은 CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 등 4가지다. 관련기사해킹 조직이 이번 랜섬웨어 이름을 '디어크라이'라고 붙인 것 역시 '워너크라이'를 연상시킨다.

현대자동차 임직원 이메일 등 그룹의 핵심 정보가 담긴 서류가 ‘다크웹’에 무방비로 유출됐다. 유출된 문서엔 현대글로비스 직원의 이메일 내용과 현대오토에버의 계열사 내부 자료 등 현대기아차 관련 파일 총 9기가(GB) 분량이 포함돼 있다. 더밀크는 도플페이머(DoppelPaymer)로 불리는 해킹조직이 지난 9일부터 현대기아차와 현대글로비스, 현대오토에버 등과 관련된 데이터를 다크웹에 올린 것을 확인했다. 해당 파일은 ‘공개’로 설정돼 있어 14일(한국시간) 현재 다크웹에 접속하면 누구나 접속해 볼 수 있다. 이 해커조직은 지난 1월부터 “현대기아차 미국법인을 해킹했다”고 주장하며 3월 9일부터 현대기아차 그룹과 관련된 각종 업무 문서와 이메일 백업, 전화번호, 전사자원관리(ERP)로 쓰는 SAP 파일 등을 다크웹에 올렸다. 다크웹에 올라온 자료 중에는 현대글로비스 USA 내부 직원 아웃룩 이메일 백업 파일도 포함됐다. 이 외에도 파일명 자체가 ‘리베이트’인 문서와 은행 거래 문서, 내부 IT 시스템 구성도와 사이버 보안 관련 문서도 포함됐다. 해외 법인 경영실적 보고서 등도 유출됐다. 유출된 문서는 2007년부터 2021년까지 십여년이 넘는 방대한 분량의 자료다. 현대기아차는 그동안 이 조직의 주장에 “해킹 당하지 않았다”고 해명해왔다. 하지만 미국법인이 직접 해킹당하지 않았더라도 계열사나 협력업체 등을 통해 해킹돼 자료가 유출됐을 가능성을 배제할 수 없다. 지난 2014년 한국수력원자력 원전도면 유출 사고도 한수원이 아니라 한수원의 협력사 대표 PC가 해킹돼 각종 문서가 유출된 바 있다. 해커는 보안 수준이 높은 대기업보다 규모가 작은 협력사를 거점으로 해킹을 진행하는 것이 일반적이다. 대기업과 오가는 자료를 빼돌려 협박 등에 활용한다.

해커가 여성 건강병원에서 교도소, 학교, 기업에 이르기까지 실시간으로 촬영된 보안 카메라 영상을 유출했다. 전기 자동차 기업 테슬라 상하이 공장으로 보이는 영상도 있다. 보안 카메라 영상 유출은 사생활 침해는 물론이고 기업의 핵심 기밀 도난 우려도 있다. 블룸버그는 해커가 실리콘밸리 스타트업인 버카다(Verkada)의 보안 카메라에 접속해 데이터를 유출했다고 보도했다.해킹 조직은 병원, 기업, 경찰서, 교도소, 학교 등 15만 개 보안 카메라의 실시간 영상에 접속했다. 버카다 사무실 내부 영상도 유출됐다. 병원을 포함한 일부 카메라는 얼굴인식 기술을 사용해 영상에 캡쳐된 사람까지 식별할 수 있다. 해커들은 앨라배마주 헌츠빌에 있는 매디슨 카운티 교도소에 설치된 330대 보안 카메라에도 접속했다. 일부 버카다 제품은 촬영된 영상을 검색하고 성별 특성, 의류 색상, 사람 얼굴 등 다양한 속성을 기준으로 필터링 할 수 있다. 카메라는 안면 인식 기술을 사용해 수감자와 교도소 지원을 추적한다.블룸버그와 인터뷰한 화이트해커인 코트만(kottmann)은 “해커가 루트 접속 권한을 얻었으며 이 것은 내부에서 자체 코드를 실행할 수 있다는 의미다. 이럴 경우 버카다 카메라가 설치된 고객 기업 네트워크에 침투할 수 있는 통로가 된다”고 설명했다.

지난해 러시아에게 해킹 피해를 입은 미 정부기관이 이번에 중국 해커 공격을 받은 것으로 드러났다. 뉴욕타임즈는 미 정부가 러시아에 이어 중국 해킹 조직에 사이버 침해를 당했다고 보도했다. 바이든 행정부가 사이버 공격으로 몸살을 앓고 있다.미국 지방 정부와 중소기업, 군관련 기업이 사용하는 마이크로소프트 이메일 시스템이 침해 당한 것으로 드러났다. 마이크로소프트는 3일 익스체인지 서버에서 발견된 4개의 제로데이 취약점 패치를 공개했다. 마이크로소프트 익스체인지 서버 고객은 패치 업데이트가 시급하다.

지난해 12월 미국은 법무부, 재무부, 에너지부, 상무부, 주정부 등 주요 기관에 해커가 침입한 사실을 알아차렸다. 해커는 심지어 미국 핵 비밀까지 접근한 것으로 알려졌다. 이 사건은 미국 역사에 기록될 만한 사이버 침해다. 이 사건은 선버스트(Sunburst) 공격으로 불린다. 보안 전문가들은 선버스트 공격이 발각되기 최소 9개월 전부터 이뤄진 것으로 보고 있다. 공격자는 네트워크 관리 솔루션 기업인 솔라윈즈 취약점을 이용했다. 솔라윈즈 제품 업데이트때 악성코드를 설치했다. 이 업데이트가 솔라윈즈를 사용하는 1만8000개 고객에 배포됐다. 해커가 드나들 수 있는 백도어가 생성됐고 기밀이 유출 됐을 것으로 보고 있다.선버스트 공격은 사이버 보안 기업 파이어아이가 자체 네트워크가 해킹당했다고 공개하면서 그 실체가 드러났다. 관련기사 파이어아이는 어떻게 내부 침해를 인지했을까?

미 법무부가 미국을 포함한 12개 국가 은행과 기업을 해킹한 혐의로 북한군 정보기관 소속으로 추정되는 해커를 기소했다. 월스트리트저널(WSJ)은 이들이 지난 5년간 13억 달러(약 1조 4000억원)를 훔쳤다고 보도했다.법무부는 해킹과 사기 혐의로 전창혁과 김일을 기소했다. 이미 공개 수배된 또다른 북한 해커는 ‘박진혁'이다. 그는 2018년 뉴욕연방은행에 있던 방글라데시 계좌에서 8100만달러를 절도한 혐의로 기소된 바 있다. 그는 2014년 소니픽처스 해킹 등 다른 사건에도 연루됐다. 미 정부는 박진혁에 이어 전창혁과 김일까지 기소하며 북한의 사이버 공격을 가만히 보고 있지 않겠다는 의지를 드러냈다. 북한 해커들은 2020년 1월과 2월 사이 미 국방부와 테크 기업에 스피어피싱 이메일을 보냈다. 이들은 북한에만 머물지 않고 러시아나 중국으로 건너가 작전을 수행했다. 사이버 공격은 범인 위치 파악이 어렵다. 북한은 러시아, 중국 등에서 작전을 수행하며 추적을 피한다. 존 데머스 법무부 국가안보부장은 “북한요원은 총대신 키보드를 사용해 현금 대신 암호화폐 디지털 지갑을 훔치는 최고의 은행 강도가 됐다"고 말했다.

지난해 말 보안 기업 주가가 들썩였다. 미국 정부와 기관을 표적한 썬버스트(Sunburst) 사이버 공격이 확인되면서 투자가들은 이에 대응해 매출 증가가 예상되는 기업을 찾았다.관련기사 <솔라윈즈 취약점으로 미 재무부 등 해킹>배런스는 올해 보안과 IT소프트웨어 기업 주가를 예측했다. 파이퍼샌들러 분석가인 롭 오웬스는 최근 보고서를 통해 2020년 말 미국을 뒤흔든 해킹 사고와 팬데믹을 틈탄 사이버 공격 증가로 올해 보안과 인프라 소프트웨어 부분 수요가 증가할 것이라고 분석했다.사이버시큐리티벤처스에 따르면 사이버 범죄와 관련된 침해비용은 2021년까지 6조 1000억 달러에 이를 것으로 예상된다. 비즈니스 리더의 68 %가 증가하는 사이버 위험을 우려한다. 가트너에 따르면 2020년 네트워크 보안 장비 지출은 13% 감소하는데 클라우드 보안 지출은 33% 증가할 것으로 예상했다.

러시아로 추정되는 해커의 공격으로 미국 외에 영국, 캐나다, 이스라엘 등 서방국가들의 정부 기관과 기업들도 피해를 입은 것으로 드러났다. 해커들은 서방 국가들의 재무, 국가 안보, 헬스케어, 통신망을 뚫었다. 사이버 공격에 대한 글로벌 공조가 불가피한 상황이다. 마이크로소프트(MS)는 브래드 스미스 마이크로소프트 사장 명의의 발표를 통해 자체 조사 결과 최근 러시아로 추정되는 조직의 해킹으로 40개 이상의 기업과 기관이 피해를 입었다고 밝혔다. 미국외에 영국, 캐나다, 이스라엘 기업과 기관도 침해를 당했다. 브래드 스미스 MS 사장은 사고 조사 진행상황을 공개하며 글로벌 공동 대처를 촉구했다. 고객 대응 가이드라인도 제시했다. MS에 따르면 해커는 솔라윈즈 어니언 소프트웨어 취약점을 이용, 악성코드를 유포했다. 마이크로소프트 디펜더 안티바이러스가 공격자의 악성코드가 포함된 솔라윈즈 어니언 소프트웨어 버전을 설치한 고객을 식별한 것. 이 데이터를 보면 미국 공공기관이 몰려있는 워싱턴 등 동부 지역과 텍사스 등에서 악성코드 감염이 눈에 띄게 감지된다. 미국 외에 영국, 한국 일본 등도 예외는 아니다. MS는 악성코드 분포도에서 보는대로 글로벌 공급망 취약성이 세계에 영향을 끼치고 있다고 분석했다.

러시아 정부의 후원을 받는 것으로 의심받는 해커 조직이 미국 정부 기관과 기반시설(인프라스트럭쳐)을 공격했다. 이 중엔 미국의 국가 핵무기 비축을 관리하는 핵안보국도 포함 돼 있다. 조 바이든 대통령 당선자도 미국 정부 기관과 민간 기업에 광범위한 해킹 사고에 대해 "사이버 보안을 최우선 순위"로 삼을 계획이라고 말할 정도로 상황이 심각하며 이에 본격 대응에 나섰다. 블룸버그는 조 바이든 대통령 당선자가 러시아 해커로 의심되는 미국 정부 기관과 민간 기업에 광범위한 해킹 사고에 대해 "사이버 보안을 최우선 순위"로 삼을 계획이라고 말했다고 보도했다. 도널드 트럼프 대통령이 이번 해킹의 원인이된 솔라윈즈 오리온 소프트웨어를 악용한 해킹에 대해 침묵하자 바이든 당선인이 대응을 시작했다.

글로벌 보안 기업 파이어아이가 해킹당했다고 밝힌 후 미 재무부 등에서 연이어 침해 흔적이 발견됐다. 코로나19에 이어 사이버 해킹, 정권교체까지. 미국 정부는 그 어느 때보다 혼란스러운 상황이다. 사이버 공격은 공격원점(Attribution)이 어디인지, 많은 중요 정보가 유출됐는지 파악하기 어렵다. 세상에는 두 종류 기업이 있다. 해킹 당한 기업과 당한 걸 인지하지 못한 기업이다. 보안 기업은 해킹을 100% 완벽히 차단할 방법은 없다고 말한다. 공격자 침투를 빨리 찾아내 피해를 최소화하는데 주력한다. 그 어디에도 해커의 공격을 100% 차단할 방법은 없다. 해커는 단 1%의 가능성에서 침투 통로를 찾아낸다. 파이어아이와 미 정부기관 해킹사고를 보면 피해 최소화 노력이 돋보인다. 파이어아이는 해킹 상황을 인식했다. 이를 정부에 알리고 고객 피해 최소화에 노력했다. 고객의 사이버 보안을 지키는 회사가 해킹을 당했다는 사실 자체가 치욕적이다. 많은 보안 기업은 가능한 이런 일이 외부로 알려지는 것을 원치 않는다. 한국 기업은 더 말해서 무엇하겠는가.

파이어아이 외에 정부기관까지 이미 침해미국 재무부와 상무부를 포함한 여러 연방 정부기관이 러시아로 추정되는 해커 공격을 받았다. 미국 주요 기밀이 러시아 정부로 넘어간 것으로 보인다. 보안 전문가들은 미국 정부 피해를 정확히 파악할 수 없지만 최근 몇년 만에 발생한 가장 우려스러운 사이버 공격이라고 분석했다. 러시아가 미국 정부기관과 국방부 등 주요 시스템에 접속해 민감한 정보를 유출 했을 가능성이 높다. IT 관리 솔루션 취약점을 이용한 공급망 공격으로 관련 취약점 업데이트가 시급하다. 월스트리트저널 등 외신은 미 정부기관이 러시아와 연결된 해킹 그룹 공격으로 시스템이 침해를 입었다고 보도했다.WSJ은 해당 사건 관계자를 인용해 최근 발생한 사이버 보안 기업 파이어아이 해킹과 이번 정부기관 공격이 연결된 것으로 보고있다. 파이어아이에 이어 정부기관 여러 곳이 침해 당했을 가능성이 높다.상무부는 성명을 통해 연방수사국(FBI)를 포함해 문제를 조사하고 있지만 더 이상의 언급은 거부했다. 상무부 시스템 해킹에는 기술 정책 문제를 담당하는 국가 통신정보국이 포함된 것으로 보인다. WSJ는 재무부와 FBI, 파이어아이는 이 문제에 관해 답변하지 않았다고 밝혔다.국토안보부 사이버 보안&인프라 보안 담당 대변인은 “최근 정부기관에서 발견된 활동과 관련해 기관 파트너와 긴밀히 협력하고 있다. CISA는 잠재적인 손상을 식별하고 완화하기 위해 기술 지원을 제공한다”고 말했다.