출처 : https://www.boannews.com/media/view.asp?idx=98820

러시아계 해커조직으로부터 연이어 대규모 공격당한 미국의 대응은?
바이든 미국 대통령 “이번 사건 조사 위해 연방정부의 모든 자원 활용하라”
한국 기업은 아직 피해 없다지만, 업무 시작되는 월요일 각별한 주의 필요

[보안뉴스 권 준 기자] 미국 IT 관리용 솔루션 제공 업체 ‘카세야(Kaseya)’의 VSA 솔루션이 랜섬웨어 유포 경로로 악용된 대규모 공급망 공격 사건인 일명 카세야 사태가 일파만파로 확산되고 있는 가운데 솔라윈즈에 이어 카세야 사태의 가장 큰 피해국이 되고 있는 미국의 분노가 커지고 있다.

미국의 최대 명절 가운데 하나인 7.4 독립기념일 연휴를 앞둔 주말에 감행된 이번 카세야 공격으로 인해 카세야의 고객사 200여 곳이 랜섬웨어 감염 피해를 입었으며, 피해 기업은 최대 1,000여 곳까지 늘어날 수 있을 것으로 보안업계는 우려하고 있다.

무엇보다 이번 공격이 신속한 대응이 쉽지 않은 연휴 시작을 노린 데다가 솔라윈즈 사태로 막대한 피해를 입은 미국의 IT 기업을 타깃으로 또 한 번 대규모 공급망 공격을 감행했다는 점, 그리고 이번 공격도 러시아계 랜섬웨어 해커조직인 레빌(REvil)의 소행으로 알려졌다는 점에서 미국 정부는 이번 사태를 매우 심각하게 받아들이고 있는 것으로 알려졌다.

주요 외신과 보안전문가에 따르면 미국의 독립기념일을 앞두고 벌어진 카세야 공급망 공격과 관련해 조 바이든 대통령이 카세야에 대한 사이버 공격을 조사하기 위해 연방정부의 모든 자원을 활용할 것을 명령하는 등 미국 정부가 이번 사건에 각별한 신경을 쓰고 있는 것으로 전해졌다.

특히, 이번 공격을 감행한 레빌 랜섬웨어 그룹이 러시아 해커들로 구성돼 있는 것으로 알려졌는데, 이들이 패스워드로 사용하는 문자열이 ‘DTrump4ever’로 러시아에 우호적인 도널드 트럼프 전 미국 대통령을 언급하는 정치적 메시지도 포함돼 있어 이번 사건의 파장이 정치외교적 이슈로 번지게 될지 주목하는 분위기다.

솔라윈즈와 콜로니얼 파이프라인 사태에 이어 카세야 공급망 공격까지 러시아계 해커 조직에게 연이어 당한 미국이 어떤 조사 결과를 내놓고, 향후 어떻게 대응하느냐에 따라 이번 사태의 향방이 좌우될 것으로 보인다.

그러나 사실 이번 공급망 공격은 미국 정부 또는 기업에만 국한돼 있는 상황은 아니다. 카세야의 IT 관리용 플랫폼 VSA를 사용하는 고객사가 우리나라를 포함한 전 세계 3만 6,000여 곳에 달하기 때문이다. 일례로, 카세야의 고객사 중 1곳인 스웨덴의 최대 슈퍼마켓 체인 쿱(COOP)은 이번 공격에 따른 전산망 마비로 점포 800여 곳의 문을 닫은 것으로 알려지기도 했다.

우리나라도 고객사가 상당수 있는 것으로 전해졌지만, 정확한 고객사 규모와 현재 대응 실태는 제대로 파악되지 않고 있다. 카세야의 한국지사인 카세야코리아가 2010년 설립됐다가 4년 만인 2014년에 문을 닫았기 때문이다.

다만, 현재 한국인터넷진흥원(KISA)에서 이번 공격 상황에 대해 집중 모니터링하고 있고, 아직까지는 국내 기업 피해가 신고된 사례는 없다고 밝힌 만큼 카세야의 VSA 솔루션을 사용하는 고객사를 비롯한 국내 기업들은 각별한 주의가 필요하다. 무엇보다 업무가 본격 시작되는 월요일부터 피해 기업이 발생할 가능성을 배제할 수 없기 때문에 해당 솔루션은 별도의 보안 공지가 있을 때까지 사용을 즉시 중단해야 한다.

이번 카세야 사태에서도 보듯 최근 들어 공급망 공격이 전 세계에서 가장 큰 보안위협이 되고 있다. 공급망 공격은 공격을 당한 기업뿐만 아니라 해당 기업의 솔루션을 사용하는 고객사들까지 모두 피해를 입을 수 있는 공격이다. 이번에도 원격 모니터링 및 관리 소프트웨어인 카세야의 VSA 솔루션에 랜섬웨어를 심어 이를 이용하는 모든 기업에게 랜섬웨어를 유포하는 효과를 노린 것이다.

올해 초 미국을 큰 충격에 빠트린 솔라윈즈 사태가 대표적이다. 솔라윈즈는 포춘 500대 기업 중 499곳이 도입한 네트워크 솔루션 기업으로, 파이어아이 등 보안 기업뿐만 아니라 미국 주요 기업과 재무부 및 상무부 등 정부기관도 이를 사용하다가 악성코드 감염 피해를 입었다. 러시아 해커들은 올해 3월부터 6월까지 솔라윈즈의 네트워크 모니터링 솔루션 오리온 플랫폼의 업데이트 과정에 침투해 악성 소프트웨어를 유포했다. 해당 업데이트를 내려받은 고객사는 약 3만 3,000개로 추정되며, 이 가운데 1만 8,000여개 기업이 실제 업데이트를 적용했을 것이라는 분석이 나온 바 있다.