미국 정부기관과 글로벌 보안업체 파이어아이에 이어 마이크로소프트(MS)까지 솔라윈즈 백도어에 감염된 것으로 드러났다. MS 측은 “악성 솔라윈즈 바이너리를 탐지한 뒤 제거했다”면서 백도어 감염을 사실상 인정했다.
MS는 17일(현지시간) 자사 블로그를 통해 “다른 솔라윈즈 고객사와 마찬가지로 MS는 공격 지표를 찾기 위해 적극 노력해 왔다”면서 “악성 솔라윈즈 바이너리를 자사 환경에서 탐지한 뒤 분리하고 제거했다”고 설명했다.
회사 측은 “(공격자가) MS 제품 서비스 또는 고객 정보에 접근했다는 증거는 찾지 못했다”면서 “조사가 아직 진행 중이지만 자사 시스템이 다른 공격을 위해 악용됐다는 근거는 전혀 발견할 수 없었다”고 강조했다.
MS가 적극 해명에 나선 것은 솔라윈즈 백도어 사태가 미국 민·관을 비롯한 세계 보안에 치명적 영향을 끼쳤기 때문이다.
솔라윈즈는 세계 1위 네트워크 관리 소프트웨어(SW)로 세계 30만개 이상 고객을 보유했다. 미국 재무부, 국방부, 국무부, 국가안보국(NSA)을 포함해 미국 10대 통신사 등이 솔라윈즈 SW를 쓴다. 이 가운데 1만8000개 고객이 솔라윈즈 SW 업데이트에 의해 백도어에 감염된 것으로 추산됐다. 파이어아이는 자사 해킹 경위를 분석하는 과정에서 솔라윈즈 SW에서 백도어를 발견하고 외부에 알렸다.
브래드 스미스 MS 사장은 이번 사태를 '심판의 날(moment of reckoning)'이 온 것이라고 규정하고 글로벌 사이버보안 대응과 협력을 촉구했다. 직면한 사이버 위협을 직시하고 민·관 협력 체계를 구축해야 한다는 것이다.
스미스 사장은 “각국 정부기관에 의한 스파이 활동은 수세기 동안 발생했지만 이번 공격은 경제를 위험에 빠뜨렸다”면서 “공급망 취약성을 바탕으로 러시아 외 다수 국가에 영향을 끼친 사건”이라고 말했다. 이어 “디지털 시대라는 현재에도 일반적 수준의 첩보라고 볼 수 없다”면서 “한 발 물러나 전체 맥락에서 이번 공격의 심각성을 평가할 필요가 있다”고 했다.
특히 솔라윈즈 백도어가 추가 공격 가능성을 열어줬다는 점이 우려된다고 지적했다.
스미스 사장은 “공격자는 백도어가 설치된 곳 가운데 추가 공격 대상을 얼마든지 선택할 수 있다”면서 “관찰 결과 특정 조직을 겨냥하는 것으로 보인다”고 설명했다.
MS 조사에 따르면 솔라윈즈 고객사 최소 40곳이 해킹조직에 의해 보다 집중적인 공격을 받은 것으로 나타났다. 이들은 다른 곳에 비해 추가적이고 정교한 방식으로 침해됐다. 이 가운데 약 80%는 미국 소재 고객사이며 캐나다, 멕시코, 벨기에, 스페인, 영국, 이스라엘, 아랍에미리트 등 7개 국가에서 집중 공격이 포착됐다.
이와 함께 스미스 사장은 올해를 “사이버 위협이 진화하는 분수령이 된 해”라고 정의하고 세 가지 변화를 꼽았다. △정부지원 해킹조직이 공격 의지와 정교함을 강화했다는 점 △사이버 공격이 민간 기업을 통해 상업화하고 있다는 점 △코로나19 사태 속 백신과 치료제를 겨냥한 정부지원 해킹조직 움직임이 활발해졌다는 점 등이다.
코로나19와 관련해서는 “지난 3월 이후 사이버 공격자는 지방자치단체와 세계보건기구(WHO) 등 병원과 의료기관을 공격해 왔다”면서 “정부지원 해킹조직 3개가 코로나19 백신과 치료제를 연구하는 7개 유명 기업을 공격했다”고 말했다.
스미스 사장은 “공격자에게는 코로나19조차 제약이 되지 않는다”면서 “어느 때보다 위험한 세상에 살고 있는 만큼 이전보다 강력한 협력 체계를 만들어야 한다”고 했다.
협력 체계 구축을 위해서는 △위협 인텔리전스 공유와 분석을 강화할 것 △정부지원 해킹조직의 만행을 억제할 국제 규칙을 강화하고 사이버공격 생태계 조성을 저지할 국가별 법령을 강화할 것 △정부지원 해킹조직이 사이버 공격에 따른 책임을 지도록 만들 것 등을 제시했다.
오다인기자 ohdain@etnews.com