세계 1위 네트워크 관리 소프트웨어(SW) '솔라윈즈'에서 백도어가 발견되면서 한국 기업에도 비상이 걸렸다. 한국인터넷진흥원(KISA)은 솔라윈즈 국내 총판사를 통해 현황 파악에 나선 상태다.
이동근 KISA 침해사고분석단장은 15일 “솔라윈즈 국내 총판사를 통해 침해 버전을 이용 중인 고객사를 파악하고 있다”면서 “해당 제품을 쓰는 모든 고객이 침해됐다고 보기에는 증거가 불충분하지만 국내 기업에 피해가 있을지 확인이 필요하다”고 말했다.
솔라윈즈 국내 총판사 두 곳은 현재 KISA와 협조하면서 현황을 조사하고 있다. 국내는 대기업을 중심으로 솔라윈즈 제품을 다수 도입한 것으로 파악된다. 솔라윈즈 본사 역시 자사 제품에서 백도어가 발견된 이후 각국 총판사에 연락을 취하고 관련 정보를 공유한 것으로 전해졌다.
이 단장은 “미국 정부가 긴급 보안 지침을 발령한 것은 정부기관이 주요 표적이었기 때문으로 분석된다”면서 “KISA는 국내 기업 피해를 예방하기 위해 현황을 파악한 뒤 보안 공지를 준비 중”이라고 말했다.
앞서 미국 국토안보부(DHS) 산하 사이버·인프라안보국(CISA)은 13일(현지시간) 전체 연방기관을 대상으로 솔라윈즈 작동을 즉시 중단하라는 긴급 보안 지침을 발령했다. 솔라윈즈를 실행하는 모든 컴퓨터를 즉시 비활성화하고 전원을 차단하라고 지시했다.
CISA와 파이어아이, 솔라윈즈 측에 따르면 '솔라윈즈 오리온 플랫폼' 2019.4 버전부터 2020.2.1 버전은 정보유출을 위한 백도어 유포용으로 악용됐다. 러시아 배후로 추정되는 정부지원 해킹조직 APT29는 미국 재무부를 비롯한 정부기관을 주요 표적으로 삼은 뒤 공급망 공격을 감행했다.
APT29는 산업 기밀 유출, 외교 관계자 해킹, 최근에는 코로나19 백신 연구 해킹까지 수행한 해킹조직이다. 이들은 솔라윈즈 오리온 기업용 SW 업데이트를 통해 '선버스트' 백도어를 유포하고 세계 수많은 민·관 조직을 침해한 것으로 드러났다. 파이어아이는 솔라윈즈에 관한 위협 연구를 공개하면서 “북미, 유럽, 아시아, 중동을 아우르는 세계 정부기관, 컨설팅과 기술 회사, 통신사 등이 광범위하게 침해됐다”고 밝혔다.
이번 공격에 악용된 '솔라윈즈 오리온 플랫폼'은 정보기술(IT) 성능 모니터링을 위한 SW다. 솔라윈즈는 미국 10대 통신사를 비롯해 세계 30만개 이상 고객을 보유했다. 미국 국방부, 국무부, 국가안보국(NSA), 포털도 솔라윈즈를 쓴다.
오다인기자 ohdain@etnews.com