How China’s attack on Microsoft escalated into a “reckless” hacking spree

중국발 對MS 해킹, 전면공세로 번지다

마이크로소프트 이메일 시스템의 보안 업데이트를 배포하자, 해커들의 활동도 급격히 확대됐다. 이제 전문가들은 재빠른 조치가 시급하다고 말한다.

마이크로소프트 익스체인지(Exchange) 이메일 서버의 결함을 악용한 중국 해커들의 초기 활동은 분명히 조심스러웠다. 첫 두 달간은 정해진 목표 인물들의 메일함만 은밀하게 털어가는 식으로만 활동했었다. 발각 당시엔 흔하디 흔한 온라인 정보 탈취 활동의 일환으로만 보였다. 하지만 상황은 곧 급변했다.

지난 2월 26일을 기점으로 활동의 규모와 복잡도가 폭등했다. 마이크로소프트가 며칠 뒤 ‘하프늄(Hafnium)’ 해킹그룹으로부터 공격받았음을 밝히고 보안 업데이트를 배포했지만, 이미 해커들이 인터넷 전역에서 새로운 사냥감들을 포착한 이후였다. 수만 명에 달하는 미국 내 피해자들은 물론, 세계 각국 정부들로부터도 침해당했다는 보고가 쏟아져 나오고 있다. 보안업체 ESET에 따르면 현 시점에서는 최소 10곳의 해킹그룹이 최소 115개국에 설치된 수천 개의 서버를 공격 중인 것으로 보인다. 참여 해킹그룹의 대다수는 정부 산하의 사이버 첩보팀으로 보인다.

바이든 대통령이 러시아발 솔라윈즈 해킹에 대한 반격을 고려하던 시점에 발생한 하프늄 사태는 솔라윈즈 사태보다도 피해가 심대할 가능성이 있다. 일선의 전문가들은 취약점들을 찾아내고 틀어막느라 바쁘다. 미 정부는 이미 침해당한 수천 개의 서버들에 무슨 일이 일어날지 감시하는 동시에 어떻게 중국에 대응해야 할지 고민 중이라고 관계자들은 말한다.

이번 해킹의 최초 감지에 기여한 사이버보안 업체 볼렉시티(Volexity)의 션 쾨셀(Sean Koessel) 부사장에 따르면, 침해당한 익스체인지 서버를 활용하던 네트워크들은 대문이 활짝 열려있다고 할 수 있을 정도로 취약해진 상황이다. 악성 행위자가 마음을 먹기만 하면 침입이 가능하다는 것이다. 그는 “최선의 경우는 정보에만 관심이 있는 해커가 데이터만 훔쳐 가는 것이고, 최악은 해커가 랜섬웨어를 해당 네트워크 전체에 퍼뜨려버리는 것”이라 한다.

솔라윈즈 해킹과 하프늄 해킹의 차이가 기술적 세부사항이나 발원국에만 있는 것은 아니다. 침해당한 솔라윈즈 소프트웨어를 다운로드한 기업이 1만 8,000여 곳이나 되긴 했어도, 실제로 피해를 입은 대상들은 그 중 작은 일부에 불과했다. 반면 하프늄 해킹은 훨씬 폭넓고 무분별했다.

실버라도 정책 액셀러레이터(Silverado Policy Accelerator) 의장 겸 보안업체 크라우드스트라이크(CrowdStrike) 공동설립자 드미트리 알페로비치(Dmitri Alperovitch)는 두 활동 사이에 분명한 방법론적 차이가 있었다고 말한다. “러시아발 솔라윈즈 공격은 굉장히 조심스럽게 행해졌다. 그 해커들은 대부분의 대상들로의 접근권한을 애초부터 차단해버리고 지정된 몇몇 목표물들에만 집중했다. 관심이 없는 기관들에겐 남들은 물론 본인들마저 접근할 수 없게 만들었었다.” 

이번 중국발 공격과 대비가 되는 부분이다.

알페로비치는 “2월 27일에 보안 업데이트가 배포되리란 걸 알게 된 하프늄은 곧바로 전세계의 서버들을 침해하고자 공격을 크게 확장했다”고 밝혔다. “온갖 네트워크에 웹쉘(web shell)을 남겨, 랜섬웨어 배포자를 비롯하여 정말 누구든지 백도어를 통해 추후 침입할 수 있게끔 만들었다. 굉장히 과감하고 위험한 공격이었다. 반드시 대처가 필요하다”고 말해싿.

대규모 총공격

쾨셀은 하프늄 공격의 시작은 굉장히 조용했다고 말한다.

대다수의 보안 점검도 침해 사실을 감지하지도 못했었다. 마이크로소프트 익스체인지 기반의 이메일 서버들을 운용하고 있던 자사 고객들이 이상한 트래픽 요청들을 받기 시작했다는 것을 볼렉시티가 눈치채고 나서야 해킹의 내막이 드러나기 시작했다. 한 달간 조사 결과 익스체인지 서버에 희귀한 제로데이 결함 4종이 존재했음을 밝혔다. 해커들은 이를 이용해 메일함 전체의 정보를 훔쳐갈 수 있었다.

침해당한 개인 및 기업들에게는 청천벽력같은 소식이었겠지만, 그래도 이때까지는 피해자 수가 그리 많지 않았고, 피해 규모도 제한적이었다. 볼렉시티는 마이크로소프트와 여러 주 동안 협업하며 취약점들을 고치기 위해 힘썼다.

하지만 2월 말 즈음에 갑자기 상황이 바뀌었다고 쾨셀은 말한다. 피해자 수는 물론 공격에 가담하는 해킹그룹의 수도 증가하기 시작한 것이다.

마이크로소프트가 해킹 사실을 공표하기도 전에 어떻게 다수의 정부 산하 해킹그룹들이 같은 제로데이 취약점들을 발견했는지에 대해선 아직 알려진 바가 없다. 해킹 규모가 갑자기 폭발적으로 확대된 이유는 무엇일까? 혹자는 ‘시간이 얼마 남지 않았다’는 것을 해커들이 일찍 파악해서라고 주장한다. 그렇다면 보안 업데이트가 곧 배포되리란 걸 해커들은 어떻게 알아냈을까? 

ESET에서 이번 익스체인지 해킹 조사를 지휘하는 마티외 파오(Matthieu Faou) 연구원은 “해킹 관련 세부사항이 공표되기도 전에 고도의 해킹그룹 여럿이 특정 취약점의 공략법을 손에 넣는 경우는 대단히 드물다”며 “두 가지 가능성이 있다. 취약점과 관련된 정보가 위협 행위자들에게 고의로 유출되었거나, 다양한 위협 행위자들의 연구팀들이 마침 각자 동일한 취약점들을 발견했던 것이다”라고 말했다.

볼렉시티는 하프늄이 네트워크에 진입하여 도사리는 것을 한 달간 관찰했고, 마이크로소프트의 패치가 배포되기 이전부터 해커들을 쫒아내기 위한 작업을 시작했었다. 하프늄이 공격의 규모를 급격히 키운 계기였을지도 모른다.

알페로비치는 또다른 가설을 제시했다. 마이크로소프트 보안팀을 포함한 업계 내 보안 담당자들은 서로 취약점 및 보안 업데이트 관련 정보를 정기적으로 공유하는데, 해커들이 이를 통해 패치 일정을 알아냈을 수도 있다는 것이다.

마이크로소프트의 발표 이후로 더 많은 해킹그룹이 가세했다.

파오는 “패치 배포 다음 날부터 위협 행위자의 수와 공격 범위가 폭증하는 것이 관찰됐다“고 말한다. 공격에 참여 중인 해킹그룹들은 단 한 곳을 제외하고 모두 정부 산하 첩보팀들인 것으로 알려졌다. 파오는 “갈수록 많은 위협 행위자들이 결함을 악용하는 방법을 알게 될 것”이라며 “그 중에는 랜섬웨어 배포자들도 있을 것”이라고 걱정했다.

해커들이 사방에 웹쉘을 남기기 시작한 것도 해킹 활동이 급증할 즈음부터라고 볼렉시티는 밝혔다. 웹쉘은 간단한 해킹 도구로써, 감염된 기기들에 상시 활용 가능한 원격 백도어를 남긴다. 해킹의 원인이 되었던 취약점을 제거하더라도 쉘은 남으며, 쉘 자체가 제거되기 전까지 해커들은 언제든 기기를 제어할 수 있다. 흔적을 요란하게 남기기에 감지도 쉬운 편이지만, 효과는 확실하다.

웹쉘은 다른 해커들의 출입구로도 기능하기 쉽다. 자체 보안이 워낙 취약하기 때문이다. 웹쉘을 탈취하면 누구든 익스체인지 서버에 진입해 메일함을 털어가거나 네트워크 전체에 대한 공격을 강행할 수 있다.

알페로비치는 웹쉘을 ‘굉장히 쉽게 따지는 자물쇠’에 비유했다.

새로운 과제

지난 월요일, 마이크로소프트는 이례적으로 지원 기간이 이미 만료된 익스체인지 버전들까지 보완하는 업데이트를 배포했다. 회사가 이번 사건을 얼마나 심각하게 보고 있는지를 보여준다. 이 사안에 대해 마이크로소프트는 코멘트 요청을 거절했다.

공격은 갈수록 거세지고 있고, 백악관이 대응책을 고민하는 동안 리스크는 커져만 가고 있다. 솔라윈즈가 고도의 첩보 활동이었다면, 하프늄은 무차별 폭격에 가깝다. 전자에 이제서야 슬슬 대응하기 시작한 바이든 정부가 후자에 대해서는 어떤 입장을 취할지 귀추가 주목된다.

알페로비치는 미국이 중국에 ‘결코 용납할 수 없다’는 메시지를 전해야 한다고 주장한다. 그는 “이번 침해로 인해 향후 발생할 모든 피해에 대한 책임을 묻겠다는 점을 분명히 해야 할 것이며, 그들이 모든 피해 기기로부터 웹쉘을 제거하게끔 지금부터 당장 압박을 시작해야 한다”고 말했다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.