미국 정부가 세계 1위 네트워크 관리 소프트웨어(SW) '솔라윈즈'를 모든 연방 기관에서 즉시 중단시키라는 긴급 보안 지침을 발령했다. 솔라윈즈가 백도어를 유포하기 위한 플랫폼으로 악용됐다는 사실이 뒤늦게 드러났기 때문이다.
미국 국토안보부(DHS) 산하 사이버·인프라안보국(CISA)은 13일(현지시간) 솔라윈즈에 관한 긴급 보안 경보를 냈다. 올해 3월부터 6월까지 배포된 '솔라윈즈 오리온 플랫폼' 2019.4 버전에서 2020.2.1 버전까지 제품이 취약한 것으로 조사됐다. CISA는 솔라윈즈를 실행하는 모든 컴퓨터를 즉시 비활성화하거나 전원을 차단하라고 지시했다.
'솔라윈즈 오리온 플랫폼'은 정보기술(IT) 성능 모니터링을 위한 SW지만 '선버스트' 백도어를 유포하기 위한 발판이 된 것으로 나타났다.
브랜든 웨일즈 CISA 국장대행은 “솔라윈즈 오리온 네트워크 관리 제품이 침해됐다는 사실은 연방 네트워크 보안에 용납할 수 없는(unacceptable) 리스크를 준다”면서 “이번 지침은 잠재 위험을 최소화하기 위한 것으로 민·관 모든 파트너가 위험을 인지하고 네트워크를 보호하길 촉구한다”고 강조했다.
이번 지침은 2015년 미국 국회가 사이버보안법에 의해 CISA에 권한을 부여한 뒤 다섯번째로 발행한 것이다. 이에 따라 솔라윈즈를 가동하는 모든 미국 정부기관은 미국 동부 표준시 기준 14일 정오까지 CISA에 조치 완료를 보고해야 한다.
솔라윈즈 측은 이번 침해 사실을 인정하고 대응을 촉구했다. 회사 측은 “고도로 정교한 공급망 공격에 당했다”고 공표하면서 “극도로 표적화한, 인간이 직접 수행한(manually executed) 공격으로 추정된다”고 밝혔다.
앞서 글로벌 보안업체 파이어아이와 미국 재무부 등 정부기관은 러시아 배후로 추정되는 정부지원 해킹조직 APT29에 의해 해킹 당한 것으로 알려졌다. 미국 재무부를 비롯한 정부기관은 솔라윈즈에 의해 침해된 사실이 확인됐지만 파이어아이 해킹이 같은 방식으로 이뤄졌는지는 아직 확인되지 않았다.
보안업계는 APT29를 러시아 정부를 위한 첩보 수집용 해킹조직으로 분석한다. 산업 기밀 유출, 외교 관계자 해킹, 최근에는 코로나19 백신 연구 해킹까지 수행한 것으로 전해진다.
솔라윈즈 해킹과 관련해 파이어아이는 'UNC2452'로 명명하고 미국 정부와 협력 대응에 나선 상태다. 해킹조직과 공격을 탐지하기 위한 시그니처는 깃허브를 통해 공개했다.
파이어아이는 이날 CISA와 함께 공개한 위협 조사를 통해 “고도의 침투력을 가진 공격자가 솔라윈즈 공급망을 악용해 세계 수많은 민·관 조직을 침해하는 중”이라면서 “솔라윈즈 오리온 기업용 SW 업데이트를 통해 '선버스트' 백도어를 유포하고 있다”고 경고했다.
피해 예방을 위해서는 △솔라윈즈 서버를 분리시킬 것 △솔라윈즈 서버로부터 모든 인터넷 출구(egress)를 막을 것 △분리가 어려울 경우 솔라윈즈 서버로부터 중요 자산에 대한 엔드포인트 연결을 제한할 것 △솔라윈즈 서버에 접근 가능한 계정을 대상으로 비밀번호를 변경할 것 △솔라윈즈가 가동 중인 네트워크 기기 구성을 검토할 것 등을 권고했다.
한편, 솔라윈즈는 미국 10대 통신사를 비롯해 세계 30만개 이상 고객을 보유했다. 미국 국방부, 국무부, 국가안보국(NSA), 포털도 솔라윈즈를 쓴다.
오다인기자 ohdain@etnews.com