Home > 전체기사

RSA 컨퍼런스에서 발표한 솔라윈즈 CEO, “보안은 공동의 책임”

  |  입력 : 2021-05-20 14:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최악의 해킹 사고 중 하나로 꼽히는 ‘솔라윈즈 사태’의 솔라윈즈 CEO가 이번 사건으로 얻은 교훈을 발표했다. 그것은 바로 누구 하나에게 책임을 묻는 건 부적절하다는 것이었다. 게다가 공격자들은 애초에 알려졌던 것보다 훨씬 오래전부터 공격을 하고 있었다고도 밝혔다.

[보안뉴스 문가용 기자] 현재 가상 회의 형태로 열리는 RSA 컨퍼런스에 올해 초 세상을 떠들썩하게 했던 솔라윈즈(SolarWinds) 사태의 주요 인물 중 하나인 솔라윈즈 CEO 수다카 라마크리슈나(Sudhakar Ramakrishna)가 발표 시간을 맡았다. 그는 솔라윈즈 사태와 관련하여 그 동안 공개되지 않았던 내용들과 이미 알려진 내용들을 고루 섞어 발표를 진행했다.

[이미지 = Pixabay]


가장 놀라운 ‘새 소식’은 공격자들이 최소 2019년 1월부터 공격을 시작했다는 것이다. 이전까지는 2019년 10월부터 솔라윈즈 시스템에 공격자들이 접속했던 것으로 알려져 있었다. 라마크리슈나에 의하면 사건 조사에 참여한 전문가들은 수백 테라바이트의 데이터와 수만 개의 가상 빌드 시스템에 접근했다고 한다. 그러다가 어느 순간 “오래된 코드 설정” 내용을 분석하게 됐고, 이를 통해 공격자들의 침투 수법을 알아낼 수 있었다고 한다. 다만 그 오래된 코드 설정 내용이 무엇인지는 구체적으로 밝히지 않았다.

올해 초 있었던 청문회에서 라마크리슈나의 전임자는 한 인턴이 깃허브 계정 비밀번호를 포스트잇에 써붙여놓고 있었다는 말을 한 적이 있었다. 라마크리슈나는 이 부분이 유감이라고 설명했다. “인턴에게 모든 책임을 돌리고자 의도한 것이 절대 아니었습니다. 오히려 이번 사건으로 솔라윈즈는 한층 더 강화된 보안을 갖추게 되었습니다. 그게 진짜 중요한 것입니다.”

솔라윈즈를 공격한 자들은(러시아의 GRU 소속 부대라고 여겨지고 있다) 위협 행위자들이 솔라윈즈의 빌드 환경에 제일 먼저 접근하는 데 성공했고, 그 후 시그널 소스코드 파일에 선스팟(Sunspot)이라는 멀웨어를 심었다. 그리고 선스팟을 통해 오리온(Orion)이라는 제품의 빌드에 선버스트(Sunburst) 혹은 솔라리게이트(Solarigate)라는 백도어를 삽입했다. 이 빌드는 디지털 서명 과정을 거쳐 정상적인 업데이트 방법으로 1만 8천 솔라윈즈 고객사에 전파됐다.

이 1만 8천 피해 조직들 중 일부에서는 추가 공격이 발생했다. 공격자들은 주로 민감한 정보 탈취를 목적으로 하고 은밀히 활동했다. 마이크로소프트와 파이어아이 등과 같은 대표적 기술 기업들과 미국의 주요 연방 정부 기관들에서 이러한 활동이 있었다. 특정 공격 단체가 오래 전에 솔라윈즈에 침투하고, 이를 통해 미국의 심장과 같은 조직들에 몰래 들어가 여러 정보를 빼낼 수 있었다는 사실은 미국 조직들의 허술함을 드러내기에 충분했으며, 이에 미국에서는 위기감이 조성됐다.

라마크리슈나는 공격자들의 수준이 대단히 높았다고 말하기도 했다. “자신들의 존재를 감추기 위해 거의 모든 수단을 동원했다고 봐도 됩니다. 2년 동안 18000여 개 기업에 마수를 뻗치고 그중 일부에는 집중적인 공격을 했음에도 아무도 그 사실을 몰랐다는 것이 그 자체로 이들의 높은 수준을 증명합니다. 자신들의 모든 행위를 하나하나 감출 수 있었던 놀라운 실력자들입니다.”

라마크리슈나는 “공격자들의 기술력과, 그들이 갖추고 있던 자원을 고려했을 때 일개 기업이 사건을 막을 수는 없었을 것”이라고 말하기도 했다. 하지만 그럼에도 이번 사건을 발판 삼아 보안 강화 대책을 마련했다고 설명했다. “전혀 겹치는 부분이 없는 2~3개의 소프트웨어 빌드 시스템을 마련해 운영하는 방안을 검토하고 있습니다. 또한 CISO인 팀 브라운(Tim Brown)에게 제품의 생산과 출시를 중단시킬 권한도 주었습니다. 뿐만 아니라 보안 전문 위원회도 구성해 보안을 위에서부터 아래까지 강화하고 있습니다.”

그러면서 라마크리슈나는 “전임자가 이 사건의 책임을 지고 물러난 것처럼 보일 만한 시기에 본인이 CEO로 새롭게 임명되었는데, 이건 전혀 사실이 아니”라는 점도 강조했다. “제가 CEO로 결정된 건 사건이 터지기 전의 일이었습니다. 게다가 이 사건의 규모와 수위가 상상 이상이기 때문에 이걸 특정 인물 한 사람의 책임으로 돌리는 것 자체가 불가능합니다. 사실 그 자리에 누가 있더라도 이 사건을 성공적으로 막아낼 수 없었을 것이라는 게 제 의견입니다. 결국 누구 한두 사람의 책임이 아니라는 겁니다. 보안은 모든 조직원의 공동의 책임이고, 이 사건도 마찬가지입니다.”

4줄 요약
1. 솔라윈즈의 CEO, RSA에 나와 “공격은 이미 2년 동안 진행된 상태였다”고 공개.
2. 2년이나 넘게 공격자들의 악성 행위와 존재를 전혀 몰랐다는 것이 공격자들의 수준을 알려줌.
3. 그런 높은 수준의 공격이기에 특정 인물에게 사건의 책임을 묻는 것은 부적절.
4. 보안은 모두의 책임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)