[보안뉴스 문가용 기자] 이번 주 보안 업체 파이어아이(FireEye)는 “국가 지원 해커들로 보이는 자들이 침투해 레드팀 도구들을 침해했다”고 발표했다. 굵직한 정부 기관 및 대기업들과 협력하며 종횡무진 보안 전문 기업으로서 활동해오던 업체로서 상당히 창피할 수 있는 일이지만 문제의 도구를 탐지할 수 있는 도구를 깃허브에 빠르고 투명하게 공개함으로써 오히려 칭찬을 받고 있는 상황이다. 그러면서 ‘그 누구도 사이버 공격에서 안전하지 않다’는 사실이 모든 사람들에게 다시 한 번 각인되고 있다.

[이미지 = utoimage]

파이어아이는 공격자의 정체에 대해 언급하지 않고 있지만 몇몇 매체들은 러시아의 코지 베어(Cozy Bear)를 유력한 공격자로 지목하고 있다. 공격의 세부 사항은 아직 비공개지만, 파이어아이의 CEO인 케빈 맨디아(Kevin Mandia)는 “공격자들의 궁극적인 목표는 파이어아이의 고객으로 있는 정부 기관들 중 일부인 것으로 보인다”고 발표했었다.

그러나 이 사건이 특정 정부 기관들에만 영향을 주는 건 아니다. 위에서 언급한 대로 파이어아이의 해킹 도구들이 해커들의 손에 들어갔기 때문이다. 이 도구는 모의 해킹 때 사용되며, 각종 보안 솔루션들을 우회하게 해 주는 기능을 가지고 있기 때문에 해킹 공격이 훨씬 쉬워진다. 또한 코지 베어와 같은 APT 단체들이 즐겨 사용하는 도구들은 시간이 지남에 따라 일반 해커들에게까지 전파되는 것이 보통이다. 따라서 파이어아이의 도구가 얼마 지나서부터는 해킹 공격의 난이도를 크게 낮추는 역할을 할 수 있다.

게다가 해커들이 이 도구를 공격에 사용할 경우, 피해자들이 러시아 해커가 아니라 파이어아이의 활동이라고 착각할 수도 있다. 보안 업체 트리니티 사이버(Trinity Cyber)의 CEO인 스티브 라이언(Steve Ryan)은 “이 때문에 이미 불신이 시작되고 있고, 이렇게 불신을 퍼트리는 것이 러시아 첩보 기관의 특기”라고 설명한다. “파이어아이라는 거대 보안 업체에 대한 불신을 서서히 키워가는 게 목적일 수도 있음을 간과해서는 안 됩니다.”

보안 업체 크라우드스트리아크(CrowdStrike)의 공동 창립자인 드미트리 알페로비치(Dmitri Alperovitch)는 “공격자들이 처음부터 이 해킹 도구를 노리고 침투했을 가능성은 높지 않을 것”이라며 “개인적으로는 공격자들이 생각지도 못한 성과를 운 좋게 올린 것이라고 보고 있다”는 의견을 피력했다. “이번 공격을 성공시키기 위해 공격자들은 기존 공격 인프라나 기법을 재활용한 게 아니라 파이어아이만을 위한 인프라를 구성하고 새로운 기법을 선보였을 거라고 봅니다. 러시아 해커들이 이런 치밀함과 꼼꼼함을 발휘하는 건 어제 오늘 일이 아닙니다.”

물론 아직까지 파이어아이가 공격 기술과 기법의 세부 사항은 하나도 공개하지 않고 있어 알페로비치로서도 더 지켜봐야 할 일들이 남아 있다. “언젠가 파이어아이가 공유하겠지요. 그러리라고 보고, 또 희망하고 있습니다. 또한 해당 도구의 개발사로서, 그 도구를 활용한 공격을 어떻게 방어하고 위험을 완화할 수 있을지도 상세히 공개했으면 좋겠습니다. 물론 현재까지 상황을 투명하게 밝히고 탐지 도구를 얼른 깃허브에 올린 건 대단히 잘 한 일입니다.”

아직 공격자들이 민감한 정보에 얼만큼 접근하는 데 성공했는지는 정확히 밝혀지지 않고 있다. YL벤처스(YL Ventures)의 CISO인 순일 유(Sounil Yu)는 “공격자들이 파이어아이의 해킹 도구를 이미 사용해 정보를 모으고 있다면, 현존하는 여러 탐지 기술을 회피했을 것이므로 집계가 영원히 어려울 수 있다”며 “파이어아이가 보관하고 있는 정보들은 해커들로서 대단히 궁금하거나 가치가 높은 것일 가능성이 높다”고 설명한다. “파이어아이는 여러 해킹 단체들을 추적하고 첩보를 수집합니다. 이런 정보는 코지 베어로서 ‘경쟁자에 관한 정보’라 앞으로 활동을 하는 데 있어 큰 도움이 될 법 합니다.”

잘 알려져 있지는 않지만 보안 업체들이야 말로 해커들이 가장 많이, 그리고 자주 노리는 표적 중 하나다. “보안 업체들은 해커들의 공격 1순위에 포함됩니다. 왜냐하면 보안 업체가 보유하고 있는 고객 정보는, 침투와 정보 탈취 등을 용이하게 해 주는 것들이기 때문입니다. 마치 지름길 지도가 다수 저장되어 있는 창고와 같은 것이죠.” 알페로비치의 설명이다.

사건이 터지고 이틀이 지났지만 아직 파이어아이는 “더 공개할 정보가 없다”고 한다. 현재 파이어아이는 FBI와 마이크로소프트와 함께 이 수사를 공동으로 진행하고 있다. 수사가 진행 중일 때는 정보가 조금 지연되어 공개되는 것이 보통이다. 파이어아이의 대변인도 이런 점을 설명하며 “수사에 그 어떤 방해가 되면 안 되므로 지금 당장 정보를 공개하지 못함을 양해해 달라”고 말했다.

한편 보안 업체 멀웨어바이츠(Malwarebytes)는 자사 블로그를 통해 “파이어아이 침해 사건 당시 유출된 모의 해킹 도구를 탐지하는 게 가능하다”는 내용의 글을 게시했다. “파이어아이 침해 사건 소식을 듣자마자 자체 조사를 시작했는데, 마침 파이어아이가 탐지 도구를 깃허브에 공개함으로써 조사가 더 쉬워졌습니다. 그 도구를 저희 탐지 데이터베이스에 탑재시켜 일을 진행했을 때 일부 사용의 흔적들을 발견할 수 있습니다.” 그러면서 멀웨어바이츠는 이렇게 공동 방어전선을 펼칠 수 있도록 발 빠르게 움직여준 파이어아이에 감사하다고도 썼다.

보안 업체들 중 해킹 공격에 당한 건 파이어아이만이 아니다. 지난 10년 동안 VM웨어, 카스퍼스키, 맥아피, RSA, 시만텍이 침해된 경험을 가지고 있다. 알페로비치는 “보안 업체들로서는 이런 사건이 더 치명적일 수밖에 없다”며 “자사 보호를 1순위로 생각하고, 그 다음 고객의 보호를 생각하는 게 맞다”고 강조했다. “하지만 (선한 마음으로) 고객 보호에 너무 치중한 나머지, 자신을 보호하는 걸 잊는 경우가 꽤 많습니다. 보안 업체들은 이 점을 다시 한 번 상기해야 할 것입니다.”

3줄 요약

1. 파이어아이 해킹 사건, 아직 알려진 정보 많지 않음.

2. 공격자들의 목적은 고객 정보라고 하는데, 실제 가져간 건 모의 해킹 도구인 듯.

3. 보안 업체들, 고객 보호에 집중하는 것만큼 자신을 보호하는 것 잊지 말아야 함.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=93347​)]