Four new hacking groups have joined an ongoing offensive against Microsoft’s email servers

對MS 이메일 서버 공격에 해킹그룹 4곳 가세

마이크로소프트 익스체인지 서버를 대상으로 한 중국발 공격에 굶주린 포식자들이 새로 합류했다.

마이크로소프트는 최근 자사 이메일 소프트웨어에 대한 해킹 공격이 중국 정부와 연결된 것으로 보인다고 밝혔다. 발표 뒤로 공격은 급속도로 거세지고 있다. 최소 네 곳 이상의 해킹 그룹이 가세했다. 미국 정부에 따르면 이번 침해로 인해 발생할 수 있는 피해자는 세계적으로 수십만 명에 달한다.

사건은 2021년 1월, ‘하프늄(Hafnium)’이라 불리는 해킹 그룹이 마이크로소프트 익스체인지(Exchange) 서버의 보안 취약점을 공략하며 시작됐다. 하프늄은 해킹계의 최상위 포식자(apex predator)로, 미국을 대상으로 사이버 첩보 활동을 오랫동안 벌여온 고도의 중국 해킹 그룹이라고 마이크로소프트는 설명했다. 이들 엘리트 해킹 그룹 주변에는 통상 이들이 발견한 취약점을 악용하려는 영리하고 기회주의적인 다른 추종 해커 그룹이 있다.

마이크로소프트가 지난 화요일 사건의 개요를 공유한 뒤로 다른 해킹그룹 4곳이 공세에 합류하며 일은 커졌다. 최초 공격을 개시했던 하프늄 또한 공격 대상을 늘리며 전보다 훨씬 노골적으로 활동하기 시작했다. 날이 갈수록 길어지고 있는 피해자 목록에는 수만 개의 미국 기업들과 정부 단체들이 포함되어 있다.

사이버 공격을 추적할 때 보안분석가들은 해킹의 기술·전술·절차·기기·사용자 등에서 특징점을 잡아 활동을 군집화하곤 한다. 직면한 위협의 구조를 정리하는 한 방법이다. 사이버보안 업체 레드 카나리(Red Canary)의 정보팀장 케이티 니클즈(Katie Nickels)는 취약점 공격을 진행 중인 클러스터가 최소 다섯 곳으로 확인된다고 밝혔다.

지난 화요일 발표를 기점으로 활동에 박차를 가한 이 신규 해킹 그룹들이 정확히 누구이며, 무엇을 원하는지, 그리고 서버들에 어떻게 계속 접근하고 있는지는 아직 불분명하다. 하프늄이 취약점 공격 코드를 판매 혹은 공유했을 수도 있겠지만, 마이크로소프트가 배포한 수정사항들로부터 취약점을 리버스 엔지니어링했을 가능성도 있다고 니클즈는 말한다.

니클즈는 “모든 것이 불명확한 와중에 서로 중복되는 부분들도 워낙 많아서 문제”라며 “마이크로소프트의 발표 뒤로 일이 커졌다. 하프늄의 공격과 구별되는 전술·기술·절차들이 관측됐다”고 전했다.

많은 기업과 기관이 이메일 서비스 구동을 위해 마이크로소프트 익스체인지 서버를 사용한다. 해커들은 익스체인지 서버의 취약점을 이용하여 수많은 시스템들에 원격 백도어 접근 및 제어를 가능케 하는 웹쉘(web shell)을 심었다. 웹쉘에 감염된 기기가 속한 네트워크상의 모든 데이터는 위험에 노출되어 있다.

마이크로소프트에 따르면, 취약점들을 막는 신규 보안 패치를 적용한 고객들의 비중은 지난 금요일 기준으로 아직 10%밖에 되지 않는다. 패치 적용은 회복의 중요한 첫 걸음이자 반드시 취해야 하는 조치다. 하지만 완전한 복구까지 과정은 이보다 훨씬 번거로울 것이다. 취약점들을 막아도 웹쉘이 마련한 백도어들은 남아있기 때문이다. 이미 해커들이 네트워크의 다른 시스템으로까지 이동해버린 경우에는 더욱 문제가 복잡해진다.

마이크로소프트는 사이버보안 및 인프라 보안국(CISA), 다른 정부기관, 정보보안 업체 등과 긴밀히 협력하며 고객들에게 최선의 조언과 대책을 제공할 것이라고 밝혔다. 홍보 담당자는 “고객들을 돕기 위해 추가 조사를 진행하고 피해 완화를 위한 지침들을 공유하는 중이며, 피해를 입은 경우 지원팀을 통해 추가 안내 및 도움을 받을 수 있다. 최선의 방어는 모든 시스템에 가능한 한 빨리 업데이트를 적용하는 것”이라고 말했다.

전 CISA 국장 크리스 크렙스(Chris Krebs)에 따르면 이번 신규 공세는 중소기업, 학교, 지역단체 등 사이버보안에 투자할 여력이 부족한 조직들에게 가장 큰 영향을 미칠 것으로 예상된다.

“대체 왜 [이토록 큰 규모의 공격이 진행되는 것일까]?” 크렙스는 트위터에서 물었다. “임기 초반 바이든 행정부의 간을 보기 위한 무력행사? 통제 불능 사이버 범죄집단의 소행? 난폭해진 외주업체들의 작품?”

피해자가 수십만 명에 달할지도 모르는 이번 해킹 사건은 미국 정부가 힘겹게 수습 중인 솔라윈즈 해킹보다도 많은 대상에게 영향을 미쳤다고 할 수 있다. 하지만 숫자가 전부는 아니다. 솔라윈즈 배후의 러시아 해커들은 굉장히 절제된 형태로 공격을 수행했었다. 수천 개의 시스템들에 접근할 수 있었음에도 불구하고 가치가 높은 대상들만 특정했다. 이번에도 비슷할 수 있다. 잠재적 규모가 경악스럽긴 하지만, 사실 모든 침해가 참혹한 결과로 이어지는 것은 아니다.

니클즈는 다양한 피해 사례들을 구분해서 봐야 한다고 말한다. “문이 열려 있긴 하지만 실제로 누가 침입했는지는 미지수인 서버들이 있다. 또 살짝만 침해된 서버들도 있는데, 웹쉘이 설치되었을 수는 있겠지만 그 밖의 피해는 없는 경우다. 반면 분명히 해킹 활동이 발생했고, 네트워크상의 다른 시스템들로 적들이 이동하기까지 한 것으로 보이는 사례들도 있다.”

여태까지 백악관이 사이버 보안 문제를 직접 언급하는 경우는 드물었지만, 솔라윈즈 해킹과 이번 사태로 인해 바이든 행정부는 취임 첫 두달간 해킹과 관련된 이야기를 상당히 자주 하고 있다.

젠 사키(Jen Psaki) 백악관 대변인은 지난 금요일 오후 기자회견에서 “피해자들의 수가 많아 우려된다. 파트너들과 협력하며 피해 범위를 파악하고 있다”며 “네트워크 소유자들은 즉시 침해 여부를 점검하고 적절한 조치를 취해야 한다”고 말했다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.