보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

바이든 행정부, “러시아가 솔라윈즈 사태의 범인, 확실하다”

  |  입력 : 2021-04-16 17:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 수개월 동안 ‘러시아가 그런 것 같은데’라고 혼자서 중얼중얼하던 미국 정부가 드디어 “러시아가 맞다”라고 공식적으로 발표했다. 사이버 공격도 이제 외교적 차원에서 감당하고 대가를 치르게 하겠다는 것이다. 보안 강화에 사활을 걸고 있는 바이든 행정부의 이러한 움직임은 당분간 지속될 것으로 보이며, 따라서 사이버전의 판도를 뒤흔들 것으로 예상된다.

[보안뉴스 문가용 기자] 미국의 바이든 행정부가 이번 주 솔라윈즈(SolarWinds) 해킹 사태가 러시아의 해외 첩보 수집 기관인 SVR의 소행이라고 공식 발표했다. 그러면서 이에 대한 보복으로 러시아 일부 단체와 인물들에 대한 제재를 시작하고 외교관 10명을 추방했다. 제재 대상이 된 단체와 인물들은 솔라윈즈 공격을 비롯해 각종 악성 행위를 도왔다고 미국은 주장했다.

[이미지 = utoimage]


이번에 제재 대상이 된 기업들 중 보안 업계에서 어느 정도 알려진 곳이 하나 있는데 바로 포지티브 테크놀로지스(Positive Technologies)다. 그 외에는 네오빗(Neobit), 어드밴스드 시스템 테크놀로지(Advanced System Technology), 파싯(Pasit) 등 덜 알려진 기업들로 구성되어 있다.

또한 미국의 정보 보안 관련 정부 기관인 NSA, FBI, CISA는 공동으로 보안 권고문을 발표했다. SVR이 현재 포티넷(Fortinet), 펄스 시큐어(Pulse Secure), 시트릭스(Citrix), VM웨어(VMware)와 같은 유명 기업들의 네트워크 및 통신 기술들을 표적 삼아 공격을 하고 있다는 내용이다. 상세 내용은 다음과 같다.

1) 포티넷의 포티게이트 VP(Fortigate VP)의 CVE-2018-13379
2) 펄스 시큐어의 펄스 커넥트 시큐어 VPN의 CVE-2019-11510
3) 시트릭스 애플리케이션 딜리버리 컨트롤러와 게이트웨이의 CVE-2019-19781
4) VM웨어 워크스페이스 원 액세스의 CVE-2020-4006
5) 시나코어 짐브라 콜라보레이션 스위트의 CVE-2019-9670

미국 정부가 러시아 첩보 기관을 솔라윈즈 공격의 배후 세력으로 공식 지적한 것은 이번이 처음이다. 솔라윈즈 공격은 미국 정부와 여러 정보 기관들을 놀라게 했고, 공격자들은 대량의 데이터가 탈취된 것으로 보인다. 심지어 이를 통해 침투에 성공한 공격자들이 미국 네트워크 깊숙한 곳에 공격의 거점을 확보했을 가능성도 얘기되고 있다.

보안 업체이자 솔라윈즈 공격의 피해 기업인 파이어아이(FireEye)의 CEO 케빈 맨디아(Kevin Mandia)는 이번 제재 발표를 두고 “러시아 공격자들의 운신의 폭이 좁아지긴 했을 것”이라고 말했다. “하지만 그들의 공격을 효과적으로 차단하는 방책은 아닐 겁니다. 러시아 해커들의 공격에 대한 방어력을 높이는 조치라기보다 외교적으로 이 문제에 접근하겠다는 선포라, 앞으로 있을 공격에 대비하는 움직임을 각 조직들이 강화해야 하는 것에는 변함이 없습니다.”

이로써 러시아 첩보 기관 중 미국 제재 대상이 된 곳은 총 세 곳이 되었다. 이번에 SVR이 지목되기 전에는 FSB와 GRU가 2016년과 2018년에 악성 사이버 행위로 인해 제재 목록에 이름을 올렸다. 거기다가 2021년 3월 FSB와 GRU는 다시 한 번 제재 대상이 되어 총 세 번의 미국 제재에 해당하는 기관이 되었다.

바이든은 현지 시각으로 목요일 대통령 행정명령을 새롭게 발령해 미국 재무부에 전달했고, 재무부는 이를 받아 대 러시아 제재를 발표했다. 바이든은 러시아의 악성 행위가 미국 내 민주주의의 근간을 흔들기 위한 목적으로 지금까지도 자행되고 있다고 강조하며 “전략적 및 경제적인 충격을 러시아에 주겠다”고 밝혔다.

이제 미국 금융 기업들과 민간 기업들은 제재 대상이 된 러시아 기업 및 인물들과 그 어떤 금전적 및 사업적 관계를 형성하거나 유지할 수 있게 된다. 또한 이들 기업 및 인물들이 보유한 미국 내 모든 자산들도 동결된다. 이 단체와 인물들이 소유권을 50% 보유한 자산들 중 미국 영토 내에 있는 것들 역시 동결된다.

이 때문에 현재 해당 단체들과 합작해 사업을 꾸려가고 있던 미국 기업들이 있었다면 이번 제재로 인해 어느 정도 피해를 입을 수 있다고 보안 업체 벡트라(Vectra)의 팀 웨이드(Tim Wade)는 지적한다. “아직 어떤 미국 내 조직들이 이번 제재에 영향을 받는지 다 파악되지 않고 있지만 국가 대 국가의 이러한 견제와 다툼은 결국 민간인들에게 돌아오기 마련입니다.”

웨이드는 “지금이라도 러시아 조직들에서 공급받던 것들을 다른 곳에서 받도록 파트너사를 새롭게 알아봐야 할 것”이라고 말한다. “이제 사이버 공간과 기술에서의 위험 관리란 국가 간 마찰로 빚어지는 경제 제재도 포함시켜야 할 겁니다. 미국의 이러한 움직임은 사이버 공격에 대응하는 국가들의 방법론을 뒤흔들 것이라고 봅니다.”

보안 업체 인트사이츠(IntSights)의 사이버 위협 분석가인 폴 프루돔(Paul Prudhomme)은 “이번에 재무부가 공식적으로 발표한 솔라윈즈 사태의 배후 세력들의 이름을 보면 꽤나 신뢰가 간다”고 말한다. “솔라윈즈 공격자들은 대단히 높은 수준의 공격 실력을 가지고 있었어요. 어지간한 APT 단체들보다도 훨씬 뛰어났죠. 러시아 정부가 운영하는 최고의 첩보 기관 정도라면 그러한 수준에 어울립니다.”

보안 업체 타이코틱센트리파이(ThycoticCentrify)의 CISO인 조셉 카슨(Joseph Carson)은 “전혀 새로울 것이 없는 발표 내용”이라고 말한다. “미국 정부는 공식적으로 발표만 하지 않았지, 늘 러시아가 범인이라는 입장이었습니다. 뉘앙스만 풍기는 것보다, 이런 식으로 범인을 분명하게 지적하는 것이 사이버 공격자들의 리스크를 높인다는 입장에서는 매우 바람직합니다.”

3줄 요약
1. 미국, 솔라윈즈 사태에 대한 결론을 내림 : 러시아가 범인.
2. 그러면서 외교관 10명 추방하고 러시아 기관들과 인물들 제재 대상 목록에 올림.
3. 그 외에도 각종 VPN 및 협업 장비 노리는 러시아의 사이버 공격에 대한 경고도 새롭게 나옴.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북