Recovering from the SolarWinds hack could take 18 months

미 정부 솔라윈즈 해킹 피해 복구, 얼마나 걸릴까

미국 CISA 국장은 피해 복구에 아주 오랜 시간이 걸릴 것이라고 밝혔다.

미국 정부가 솔라윈즈 해킹 피해를 완전히 복구하는데 1년에서 1년 반 정도가 걸릴 전망이다. 미국 사이버보안 및 인프라 보안국(CISA) 브랜든 웨일즈(Brandon Wales) 국장의 예상이다.

미국 국가 기관들과 대형 기업들을 상대로 펼쳐진 이 대대적 해킹이 처음 감지된 것은 2020년 11월이었다. 국토안보부와 국무부 등 최소 9개 연방 기관들이 대상이었다. 해커들은 SW기업 솔라윈즈(SolarWinds)의 제품에 있던 취약점을 이용해 수많은 기관들의 네트워크에 침투했다. 미 정부 관계자들은 공격의 진원지를 러시아로 보고 있다.

웨일즈 국장에 따르면, 침해된 정부 네트워크들은 2022년 중반쯤에나 보안 재구축이 완료될 예정이며, 피해 범위를 정확히 파악하는 데에만 수개월이 소요될 것으로 예상된다.

그는 “간단히 해결될 상황은 아니다. 2단계 대응책을 가동할 것이다. 단기적으로는 침해 당한 계정들과 노출된 진입점들을 차단하며 침입자를 네트워크에서 제거하는 것이 목표다. 하지만 그들이 머문 기간이 수개월 씩이나 되니 전략적 복구에는 오랜 시간이 걸릴 것”이라고 말했했다.

해킹 피해를 장기간에 걸쳐 전방위적으로 입은 경우에는 시스템 전체를 갈아엎고 처음부터 재구축하는 것이 최선인 경우가 있다. 이번 해커들은 신원 탈취를 통해 적법한 사용자인 것처럼 가장하거나, 새 사용자를 생성할 수도 있었고, 이를 이용해 피해자들의 마이크로소프트365 및 애저(Azure) 계정들에 자유롭게 접근할 수 있었다. 해커들이 네트워크 사용자 신원의 통제권을 쥠에 따라 해커들을 추적하기도 어려워졌다.

피해를 입은 기관들이 총체적 재구축을 거쳐 적절한 보안 수준에 도달하려면 12~18개월 정도가 걸릴 것이라고 웨일즈는 말했다.

미국 정보기관들의 조사에 따르면 러시아 해커들의 잠입은 2019년부터 이뤄졌다. 해커들은 2020년 3월부터 솔라윈즈 제품을 이용해 말웨어를 배포하기 시작했으며, 초여름 즈음부터 연방정부 네트워크를 성공적으로 침해하기 시작했다. 상당히 오랫동안 들키지 않은 채 활동했던 것이다. 기관들이 해킹 탐지를 위해 높은 비용을 들여 마련하는 포렌식 로그들의 일반적 보관 기간보다도 긴 시간이다.

이번 공격 대상이었던 솔라윈즈 오리온(SolarWinds Orion)은 수천 곳의 기업들과 정부기관들이 사용하는 네트워크 관리 솔루션이다. 감염된 백도어를 다운로드받은 기관만 1만 7,000곳이 넘는다. 해킹 사실을 발견하는 데에 이토록 오랜 시간이 걸린 이유는 이번 해커들이 놀라울 정도로 은밀하고 정밀하게 공격을 진행했기 때문이다. 피해가 정확히 어디까지 미쳤는지 확인하는 작업이 지연되고 있는 연유도 마찬가지다.

지난주 미 의회 청문회에서 브래드 스미스(Brad Smith) 마이크로소프트 사장은 피해 규모를 파악하기 쉽지 않을 것이라고 말했다.

그는 “지금 피해 내역 전체를 알고 있는 사람은 공격자뿐이다”라고 말했다.

이번 공격을 최초로 탐지해 발표한 정보보안업체 파이어아이(FireEye)의 CEO 케빈 만디아(Kevin Mandia)는 해커들의 최우선 목표가 감지를 피하는 것이었다고 청문회에서 밝혔다.

만디아는 “이번 해커들은 최대한 비밀스럽게 데이터를 탈취하기 위해 굉장히 집중적·조직적으로 활동했다. 둔기로 외상을 입히듯 단순무식하게 모든 데이터를 삭제해버리는 식으로 교란을 일으키는 것보다 훨씬 난이도가 높은 공격이었다”고 말했다.

위기를 기회로

CISA가 문제를 처음 인지한 시점은 미국 정부와 정기적으로 협력해 온 파이어아이가 자사 프로그램이 해킹당했다는 사실을 파악하고 연락을 취했을 때이다. 해킹 사실을 공표할 법적 의무가 있는 건 아니었지만, 파이어아이는 침해 소식을 관련 기업들에게 곧바로 전달했다.

연방정부 네트워크들까지 침해됐었다는 사실은 마이크로소프트가 밝혔다. 많은 정부기관들이 사용하는 마이크로소프트365 클라우드에 해커들이 침입하는 것을 확인한 마이크로소프트는 12월 11일 웨일즈에 연락했다. 그리고 하루 뒤, 파이어아이는 솔라윈즈에서 백도어를 발견했다고 CISA에 알렸다.

대중에게 잘 알려져 있는 프로그램은 아니지만, 솔라윈즈는 굉장히 보급률이 높고 강력한 도구다. 침해의 범위가 어마어마할지도 모른다는 뜻이었다. 이에 따라 CISA 연구원들은 연휴 내내 근무하며 정부기관 네트워크들 속의 해커들을 추적하고 제거하기 위해 노력했다.

작업이 쉽지는 않았다. 새 국장이 부임한 지 얼마 되지 않은 시점에서 발생한 일이었기 때문이다. 며칠 전, 트럼프는 부정선거와 관련된 백악관발 가짜뉴스를 지속적으로 반박해 온 전임 국장 크리스 크렙스(Chris Krebs)를 일방적으로 해고했었다. 언론에서는 크렙스 국장의 해고 소식을 전하며 다가오는 대선과 관련된 보안 우려들을 집중적으로 조명했지만, 사실 웨일즈는 더욱 심각한 문제를 처리하느라 이미 정신이 없었다. 웨일즈는 이번 일을 기관 역사상 “가장 복잡하고 해결이 어려운 사건”이라 평했다.

웨일즈에 따르면 CISA는 연방정부 전반에 걸쳐 사이버 위협을 감지하고 추적할 법적 권한을 최근에 획득했지만, 그 권한을 제대로 행사하기 위한 인적·물적 자원이 부족한 상태다. 그는 CISA가 연방정부 네트워크 전반에 엔드포인트 위협탐지(endpoint detection) 시스템을 설치·관리할 수 있어야 한다고 말한다. 이번 해커들이 마이크로소프트365 클라우드에서 지나치게 자유롭게 움직일 수 있었다는 점 또한 지적 대상이었다. 사이버 첩보 활동을 제대로 감지하기 위해선 클라우드 환경에서의 가시성이 높아져야 한다는 것이 웨일즈의 주장이다.

이번 해킹으로 인해 예산·권한·가용자원 등을 빠르게 불려가고 있던 CISA의 성장에는 한층 더 탄력이 붙을 것으로 예상된다. CISA가 미국의 정보보안 선도 기관으로 격상되어야 한다는 목소리는 작년부터 이어져 왔다. 전례 없는 사이버 보안 대참사는 그 주장에 큰 힘을 실어줄지도 모른다.

미국 사이버공간 솔라리움 위원회(Cyberspace Solarium Commission)의 마크 몽고메리(Mark Montgomery) 국장은 이번 일에서 전화위복의 가능성을 엿보고 있다.

그는 “내막이 점차 밝혀짐에 따라 이번 사건의 규모는 미국 정부를 상대로 펼쳐진 악성 사이버 공격들 중 역대 최고 수준임이 드러났다. 향후 몇 달 간은 좋은 얘기가 나오기 힘들 것”이라며 “하지만 그 덕분에 새 정권이 사이버 보안에 확실하게 신경을 쓸 것으로 기대된다. 원래 집권 초기엔 워낙 할 일이 많으니 사이버와 같은 사안들이 묻히기 쉽다. 이번에는 그렇지 않을 것”이라고 말했다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.