보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

바이든 행정부, 솔라윈즈와 익스체인지 사태 대응 팀 전부 해산시켜

  |  입력 : 2021-04-21 13:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔라윈즈와 익스체인지 사태라는 초대형 사이버 사건을 연달아 겪은 미국은 지난 주 ‘외교적 대응’을 예고했다. 그러므로 ‘사이버 특별 대응 팀’이 필요가 없어졌다고 한다. 대신 특별 대응 팀에 대한 경험 덕분에 협력 체계의 중요성이라는 교훈을 건졌다고 밝혔다.

[보안뉴스 문가용 기자] 지난 주 바이든 행정부는 솔라윈즈(SolarWinds) 사태와 마이크로소프트 익스체인지 서버(Microsoft Exchange Server) 사태를 일으킨 것이 러시아라고 규정하며 강력한 보복을 예고했었다. 하지만 이번 주 해당 사건들의 긴급 대응 팀 두 개를 해산한다고 발표하며 한 발 물러서는 모습을 보였다.

[이미지 = pixabay]


백악관의 국가안보차관인 앤 뉴버거(Anne Neugerger)는 이러한 결정이 러시아에 대한 대응을 약화시키겠다는 뜻이 아님을 강조했다. “오히려 긴급 대응 팀들을 구성해 활동하게 함으로써 얻은 것들이 많다”며 “이러한 경험을 바탕으로 미래에 일어날 사이버 사건 사고에 보다 효율적으로 대응할 수 있을 것”이라고 발표했다. 또한 앞으로의 대응은 긴급 대응 팀을 통해서가 아니라 일반적인 방법으로도 충분히 이뤄갈 수 있다고 밝혔다.

첫 번째 긴급 대응 팀이 탄생한 건 지난 정권에서다. 1월 초 트럼프 대통령이 솔라윈즈 사태에 대한 소식을 접하면서 긴급하게 탄생시켰다. FBI와 국토안보부의 CISA, 국가정보장실의 보안 요원들로 구성됐었다. 연방 조직들에서 발생한 대형 사이버 공격에 대한 대응의 일원화를 목적으로 한 팀이었다. 그리고 바이든 대통령이 3월 두 번째 긴급 대응 팀을, 비슷한 방식과 비슷한 이유로 구성했다. 마이크로소프트 익스체인지 서버 사태 때문이었다. 다만 이번에는 민간 기업들의 참여도 적극 권장했다.

이 두 팀을 운영하고 해체하는 과정에서 바이든 행정부는 어떤 것을 배웠을까? 뉴버거는 “산업 내 주요 단체 및 기업들은 물론 사법 기관들이 함께 일함으로써 솔라윈즈 공격 사태의 전체적인 규모와 공격 방향성을 보다 정확하게 진단할 수 있었다”고 말하며 “최대 1만 6800개라는 잠재적 피해자를 100여개 조직으로 줄여 대응이 효과적일 수 있었다”고 설명했다. 노이즈를 줄여 실질적인 데이터 분석을 할 수 있었다는 것과 비슷한 말이다.

또한 뉴버거는 두 번째 긴급 대응 팀의 경우 “민간 기업들의 활발한 참여가 사건 대응과 수사에 얼마나 큰 활력소가 될 수 있는지를 다시 한 번 알 수 있었다”고 말했다. 특히 MS가 간단한 패치 및 청소 도구를 개발해 배포함으로써 공격의 잠재력을 크게 낮춘 것이 주효했다고 밝혔다. “CISA 또한 패치 트렌드를 파악하고 위험에 노출된 익스체인지 서버들을 추적하는 효과적인 방법론을 개발했죠. 이 때문에 사건의 규모를 제대로 이해할 수 있었습니다.”

솔라윈즈 사태는 미국의 보안 전문가들이 “기억에 있는 모든 사건들 중 최악의 사건”이라고 입을 모으는 대형 사건이다. 솔라윈즈라는 소프트웨어 업체의 업데이트 파일을 공격자들이 감염시킴으로써, 솔라윈즈 고객사들에 침투하게 된 사건으로, 1만 8천여 개가 넘는 조직들이 감염된 업데이트 파일을 다운로드 한 것으로 밝혀졌었다. 미국 정부는 공식적으로 러시아의 첩보 기관인 SVR이 배후에 있다고 발표하며 제재 대상까지도 공개했다.

익스체인지 서버 사태는, 한 공격 단체가 익스체인지 서버에서 제로데이 취약점을 발굴하여 익스플로잇 함으로써 수많은 조직들로부터 정보를 빼가거나 각종 악성 행위를 일삼은 사건이다. 익스체인지 서버를 사용하는 조직이 워낙 많다보니 사건의 규모가 일반적인 해킹 공격과는 차원이 달랐다. 게다가 이 소식을 접한 해커들이 익스체인지 서버를 너도나도 익스플로잇 하겠다고 뛰어들어 양상이 대단히 복잡해졌다.

이 공격의 최초 시행자는 하프늄(Hafnium)이라는 중국 APT 단체로 보인다. MS는 하프늄이 국가의 지원을 받는 고급 해킹 단체라고 설명했다. 그러나 이러한 ‘범인 지목’은 금방 무색해졌다. 수많은 공격자들이 같은 취약점을 노리며 랜섬웨어나 암호화폐 채굴 멀웨어 등을 심기 시작했기 때문이다. 게다가 NSA도 추가 제로데이를 익스체인지 서버에서 발견해 MS에 전달하기도 했다. MS는 이번 달 정기 패치를 통해 이 취약점들을 전부 패치했다.

4줄 요약
1. 솔라윈즈 사태와 익스체인지 사태를 연달아 겪은 미국은 현재 사이버 비상.
2. 강경 대응 예고한 바이든, 두 사태 수사하기 위한 긴급 대응 팀을 이번 주 해산시킴.
3. 이제 특별 대응의 단계는 지나갔고, 일반적 ‘표준 대응’으로도 충분한 상태이기 때문.
4. 다만 두 개의 긴급 대응 팀을 운영하며 각 기관과 민관 협조의 중요성을 깨달았다고 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북