[보안뉴스 문가용 기자] 미국의 바이든 행정부가 이번 주 솔라윈즈(SolarWinds) 해킹 사태가 러시아의 해외 첩보 수집 기관인 SVR의 소행이라고 공식 발표했다. 그러면서 이에 대한 보복으로 러시아 일부 단체와 인물들에 대한 제재를 시작하고 외교관 10명을 추방했다. 제재 대상이 된 단체와 인물들은 솔라윈즈 공격을 비롯해 각종 악성 행위를 도왔다고 미국은 주장했다.
[이미지 = utoimage]
이번에 제재 대상이 된 기업들 중 보안 업계에서 어느 정도 알려진 곳이 하나 있는데 바로 포지티브 테크놀로지스(Positive Technologies)다. 그 외에는 네오빗(Neobit), 어드밴스드 시스템 테크놀로지(Advanced System Technology), 파싯(Pasit) 등 덜 알려진 기업들로 구성되어 있다.
또한 미국의 정보 보안 관련 정부 기관인 NSA, FBI, CISA는 공동으로 보안 권고문을 발표했다. SVR이 현재 포티넷(Fortinet), 펄스 시큐어(Pulse Secure), 시트릭스(Citrix), VM웨어(VMware)와 같은 유명 기업들의 네트워크 및 통신 기술들을 표적 삼아 공격을 하고 있다는 내용이다. 상세 내용은 다음과 같다.
1) 포티넷의 포티게이트 VP(Fortigate VP)의 CVE-2018-13379
2) 펄스 시큐어의 펄스 커넥트 시큐어 VPN의 CVE-2019-11510
3) 시트릭스 애플리케이션 딜리버리 컨트롤러와 게이트웨이의 CVE-2019-19781
4) VM웨어 워크스페이스 원 액세스의 CVE-2020-4006
5) 시나코어 짐브라 콜라보레이션 스위트의 CVE-2019-9670
미국 정부가 러시아 첩보 기관을 솔라윈즈 공격의 배후 세력으로 공식 지적한 것은 이번이 처음이다. 솔라윈즈 공격은 미국 정부와 여러 정보 기관들을 놀라게 했고, 공격자들은 대량의 데이터가 탈취된 것으로 보인다. 심지어 이를 통해 침투에 성공한 공격자들이 미국 네트워크 깊숙한 곳에 공격의 거점을 확보했을 가능성도 얘기되고 있다.
보안 업체이자 솔라윈즈 공격의 피해 기업인 파이어아이(FireEye)의 CEO 케빈 맨디아(Kevin Mandia)는 이번 제재 발표를 두고 “러시아 공격자들의 운신의 폭이 좁아지긴 했을 것”이라고 말했다. “하지만 그들의 공격을 효과적으로 차단하는 방책은 아닐 겁니다. 러시아 해커들의 공격에 대한 방어력을 높이는 조치라기보다 외교적으로 이 문제에 접근하겠다는 선포라, 앞으로 있을 공격에 대비하는 움직임을 각 조직들이 강화해야 하는 것에는 변함이 없습니다.”
이로써 러시아 첩보 기관 중 미국 제재 대상이 된 곳은 총 세 곳이 되었다. 이번에 SVR이 지목되기 전에는 FSB와 GRU가 2016년과 2018년에 악성 사이버 행위로 인해 제재 목록에 이름을 올렸다. 거기다가 2021년 3월 FSB와 GRU는 다시 한 번 제재 대상이 되어 총 세 번의 미국 제재에 해당하는 기관이 되었다.
바이든은 현지 시각으로 목요일 대통령 행정명령을 새롭게 발령해 미국 재무부에 전달했고, 재무부는 이를 받아 대 러시아 제재를 발표했다. 바이든은 러시아의 악성 행위가 미국 내 민주주의의 근간을 흔들기 위한 목적으로 지금까지도 자행되고 있다고 강조하며 “전략적 및 경제적인 충격을 러시아에 주겠다”고 밝혔다.
이제 미국 금융 기업들과 민간 기업들은 제재 대상이 된 러시아 기업 및 인물들과 그 어떤 금전적 및 사업적 관계를 형성하거나 유지할 수 있게 된다. 또한 이들 기업 및 인물들이 보유한 미국 내 모든 자산들도 동결된다. 이 단체와 인물들이 소유권을 50% 보유한 자산들 중 미국 영토 내에 있는 것들 역시 동결된다.
이 때문에 현재 해당 단체들과 합작해 사업을 꾸려가고 있던 미국 기업들이 있었다면 이번 제재로 인해 어느 정도 피해를 입을 수 있다고 보안 업체 벡트라(Vectra)의 팀 웨이드(Tim Wade)는 지적한다. “아직 어떤 미국 내 조직들이 이번 제재에 영향을 받는지 다 파악되지 않고 있지만 국가 대 국가의 이러한 견제와 다툼은 결국 민간인들에게 돌아오기 마련입니다.”
웨이드는 “지금이라도 러시아 조직들에서 공급받던 것들을 다른 곳에서 받도록 파트너사를 새롭게 알아봐야 할 것”이라고 말한다. “이제 사이버 공간과 기술에서의 위험 관리란 국가 간 마찰로 빚어지는 경제 제재도 포함시켜야 할 겁니다. 미국의 이러한 움직임은 사이버 공격에 대응하는 국가들의 방법론을 뒤흔들 것이라고 봅니다.”
보안 업체 인트사이츠(IntSights)의 사이버 위협 분석가인 폴 프루돔(Paul Prudhomme)은 “이번에 재무부가 공식적으로 발표한 솔라윈즈 사태의 배후 세력들의 이름을 보면 꽤나 신뢰가 간다”고 말한다. “솔라윈즈 공격자들은 대단히 높은 수준의 공격 실력을 가지고 있었어요. 어지간한 APT 단체들보다도 훨씬 뛰어났죠. 러시아 정부가 운영하는 최고의 첩보 기관 정도라면 그러한 수준에 어울립니다.”
보안 업체 타이코틱센트리파이(ThycoticCentrify)의 CISO인 조셉 카슨(Joseph Carson)은 “전혀 새로울 것이 없는 발표 내용”이라고 말한다. “미국 정부는 공식적으로 발표만 하지 않았지, 늘 러시아가 범인이라는 입장이었습니다. 뉘앙스만 풍기는 것보다, 이런 식으로 범인을 분명하게 지적하는 것이 사이버 공격자들의 리스크를 높인다는 입장에서는 매우 바람직합니다.”
3줄 요약
1. 미국, 솔라윈즈 사태에 대한 결론을 내림 : 러시아가 범인.
2. 그러면서 외교관 10명 추방하고 러시아 기관들과 인물들 제재 대상 목록에 올림.
3. 그 외에도 각종 VPN 및 협업 장비 노리는 러시아의 사이버 공격에 대한 경고도 새롭게 나옴.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>