미국 정부기관이 또 뚫렸다. 이번엔 국토안보부(DHS)다.
로이터는 14일(현지 시각) 소식통을 인용해 "수준 높은" 해커 조직이 최근 DHS 내부망에 접근했다고 보도했다. 당국은 아직 사건의 배후를 발표하지 않고 있지만, 앞서 재무부와 상무부 내부 이메일을 해킹한 것으로 지목된 APT29에 무게가 실리고 있다.
APT29는 러시아 정부의 지원을 받는 해킹 조직으로, 산업·외교 기밀을 빼돌리는 일을 전문으로 한다. 이번 미 정부기관 해킹에는 네트워크 관리 소프트웨어 솔라윈즈(SolarWinds)를 이용한 것으로 알려졌다. 구체적으로 백도어를 유포하는 데에 ‘솔라윈즈 오리온 플랫폼’ 2019.4~2020.2.1 버전을 썼다.
DHS 산하 사이버·인프라안보국(CISA)은 전날 미 전역에 긴급 경보를 내리고 솔라윈즈 사용을 즉시 멈추라고 지시했다. 브랜든 웨일즈 CISA 국장대행은 "이번 경보는 잠재적 위험을 최소화하기 위한 것으로, 민·관 모든 파트너가 심각성을 인지하고 네트워크를 보호에 나서기를 촉구한다"고 했다.
미 정부기관과 함께 APT29가 목표로 삼았던 글로벌 보안업체 파이어아이는 공격을 탐지하기 위한 시그니처를 깃허브를 통해 공개했다. 피해 예방을 위해서는 ▲솔라윈즈 서버를 분리시킬 것 ▲솔라윈즈 서버로부터 모든 인터넷 출구(egress)를 막을 것 ▲분리가 어려울 경우 솔라윈즈 서버로부터 중요 자산에 대한 엔드포인트 연결을 제한할 것 ▲솔라윈즈 서버에 접근 가능한 계정을 대상으로 비밀번호를 변경할 것 ▲솔라윈즈가 가동 중인 네트워크 기기 구성을 검토할 것을 권고했다.
솔라윈즈는 미국 10대 통신사를 비롯해 전세계 30만 고객을 보유하고 있어 당분간 피해가 속출할 것으로 보인다. 미 국방부, 국무부, 국가안보국(NSA)도 솔라윈즈를 쓴다. 솔라윈즈 측은 현재까지 최대 1만8000여 고객이 피해를 본 것으로 파악된다고 밝혔다.
한편 마이크 폼페이오 국무장관은 일련의 사건에 대해 "(미 정부기관 해킹 시도는) 중국과 북한이 더 한다"고 일축했다. 그는 이날 극우 온라인매체 브레이트바트와 인터뷰에서 "러시아가 정부기관 뿐 아니라 미국 기업들의 서버에 접속하기 위해 일관되게 노력해왔다는 것 말고는 더 말할 수 없다"며 이같이 말했다. 다만 중국과 북한의 해킹 시도와 관련해서는 자세히 설명하지 않았다.