중소기업 고객사들을 다수 거느린 클라우드 업체 랙스페이스에서 랜섬웨어 사건이 일어났다. 그런데 사건 후 회사의 대응이 너무 답답하다. 그래서 꽤나 많은 고객들이 이탈하고, 이미 소송도 시작된 것으로 알려지고 있다. 클라우드 서비스 업체나 사용자 업체 모두가 배울 것이 있는 사건이다.

[보안뉴스 문가용 기자] 12월 2일 랙스페이스 테크놀로지(Rackspace Technology)라는 유명 클라우드 업체가 랜섬웨어에 감염됐다. 수많은 중소기업들이 갑자기 이메일을 보낼 수 없는 상태가 됐다. 랙스페이스가 충분한 도움과 지원을 제공할 수도 없었다. 이 사건으로 클라우드 업체에 공격 한 번 잘 들어갔을 때 공격자들이 얼마나 큰 피해를 끼칠 수 있는지가 확연하게 드러났다. 참고로 이미 랙스페이스를 상대로 한 집단소송이 한 건 시작됐고, 랙스페이스의 주가는 21%나 떨어졌다.

​

[이미지 = utoimage]

즉각 공개되지도 않았다

보안 업체 벌칸사이버(Vulcan Cyber)의 수석 엔지니어인 마이크 파킨(Mike Parkin)은 “아직 공개된 정보가 너무 없어서 공격자가 어떤 식으로 공격을 성공시켰는지 확실히 알기 힘들다”고 말한다. “하지만 지금 이 사건에서 더 중요한 건 랙스페이스의 수많은 고객사들이 의도치 않게 피해를 입었다는 겁니다. 클라우드 인프라의 어쩔 수 없는 특성 중 하나입니다. 서비스 제공 업체가 당하면 고객도 같이 당한다는 것 말이죠. 클라우드 인프라의 태생적인 불안정성이 다시 한 번 드러난 겁니다.”

뭔가 이상하다는 걸 랙스페이스가 제일 먼저 알아챈 건 동부 표준시 기준 12월 2일 오전 2시 20분이었다. 랙스페이스는 곧바로 공지를 통해 호스티드 익스체인지(Hosted Exchange) 환경에 문제가 생겨 조사를 시작했다고 알렸다. 고객들은 계속해서 이메일 서비스를 사용할 수 없었다고 불만을 제기했고, 랙스페이스는 조사 경과를 틈틈이 알렸다. 하지만 이것이 “보안 사건”임을 명확히 공개하는 데에는 하루가 걸렸다. 

보안 사고가 발생했다는 표현이 나오기 전, 이미 랙스페이스 측은 “심각한 고장”이 발생했다며 호스티드 익스체인지 환경을 비활성화시켰다. 시스템이 언제 복구될 것으로 예상되는지조차 언급하지 않았다. 복구에 며칠이 걸릴 지 모르니 이메일을 즉시 사용해야 한다면 MS 365를 대신 사용해야 한다는 권고가 있긴 했다. “고객들께 무료로 MS 익스체인지 플랜 1(Microsoft Exchange Plan 1) 라이선스를 제공할 것이니, 추가 공지가 나올 때까지 사용하시기 바랍니다”라는 공지가 나간 게 12월 3일이었다. 

처음 경고가 나오고 4일이 지난 12월 6일에야 랙스페이스는 ‘랜섬웨어 공격’이 있었음을 밝혔다. 그러면서 “랙스페이스가 제공하는 익스체인지 서비스와는 상관이 없는 문제이며, 범인이 어떤 데이터에 접근할 수 있었는지를 확인하는 중”이라고 설명했다. “지금 시점에서는 호스티드 익스체인지 환경이 언제 정상화 될 것인지 예측하기가 힘듭니다. 가능한 경우 고객들에게 ‘받은 편지함’ 아카이브를 제공하려고 애쓰고 있습니다. MS 365로 완전히 옮기는 것을 지원하고도 있습니다.” 

랙스페이스는 아직 얼마나 많은 고객사가 이 사건으로 영향을 받았는지, 랜섬웨어 공격자들로부터 어떤 협박을 받았는지, 그들이 요구한 돈을 지불할 것인지, 이미 지불을 했는지, 공격자가 누구인지 아는지, 아무 것도 공개하지 않고 있다. 외신들의 취재 요청도 전부 거절하고 있다고 한다. 다만 12월 6일자로 증권거래위원회에 제출한 자료에 의하면 랙스페이스는 호스티드 익스체인지 사업이 3천만 달러 정도의 손해를 입을 것이라고 예측하고 있음을 알 수 있다. 

화가 난 고객들

이 사건과 관계된 사람들이 올린 트윗을 보면 고객사들이 얼마나 화가 났는지를 짐작할 수 있다. 사건이 일어난 것은 둘째치고, 랙스페이스의 대응 태도를 이해할 수 없다는 게 대부분의 반응이다. 투명하게 사건을 공개하지도 않고 있으며, 고객의 불편을 제대로 해소하고 있지도 않으니 이러지도 저러지도 못하고 있는 게 고객사들의 입장인 것이다. 몇 가지 지원책을 랙스페이스가 제공하고 있기는 하지만 제대로 작동하지 않고 있는 경우가 대다수며, 그래서 여러 고객사들이 아직도 이메일 사용에 어려움을 겪는 것으로 보인다.

한 트위터 사용자는 랙스페이스에 이렇게 요청했다. “이보세요. 언제 우리 데이터를 돌려줄 건가요? 구체적인 계획도 없이 그냥 MS 365로 옮기라고 하는 건 아무런 도움이 되지도 않아요. 진심으로 파트너들을 도와주세요. 우리 데이터도 돌려주시고요.” 또 다른 사용자는 “랜섬웨어 공격자들이 고객 데이터도 침해했을 것 같다”며 “이미 다크웹에 데이터가 판매되고 있는데, 누굴 바보로 아나?”라고 주장하기도 했다.

랙스페이스의 기술적 지원이 부족하다는 것에 분노를 표출하는 고객도 있었다. “지원이라고 하는 것들이 아무런 도움도 되지 않으니 랙스페이스와의 관계를 이어가야 할 필요가 없다”며 계약을 끊어냈다고 말하는 사람들도 심심찮게 보인다. “우리 데이터를 인질로 붙잡고 있는 꼴”이라고까지 표현하며 “당신들이 망할 때까지 고소할 것”이라는 말도 보였다. 

보안 업체 발틱스(Valtix)의 수석 보안 연구원인 데이비스 맥카시(Davis McCarthy)는 “클라우드 내에 저장된 데이터는 서비스 업체와 사용자가 공동으로 책임져야 한다는 사실이 다시 강조되는 사건”이라고 말한다. “이 사건에서 고객사의 잘못도 있다는 말을 하려는 게 아닙니다. 하지만 클라우드 업체에만 보안을 맡겼을 때, 피해는 고객사에서 본다는 것이죠. 클라우드 업체도 그냥 하나의 업체일 뿐입니다. 해커들이 뚫으려고 하면 뚫리는 그런 조직입니다. 그러니 고객사들도 이들을 100% 신뢰하는 게 아니라 언젠가 침해될 수 있다는 생각을 가지고 비상 대응책을 마련해야 합니다.”

3줄 요약

1. 클라우드 업체 랙스페이스, 얼마 전 랜섬웨어에 감염됨.

2. 그런데 대응이 미적지근하고 느리며 고객사의 불편을 해결하지 못하고 있음.

3. 클라우드 인프라에 대한 의존도가 높아질수록 더 빈번해질 유형의 사건.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=112397&page=2&mkind=1&kind=1)]​