브런치북 제 6 편
국내에는 큰 피해가 없었지만 2020년 크리스마스 전후 러시아 해커 집단의 소행으로 추정되는 솔라윈즈 해킹 사건으로 미국은 그야말로 쑥대밭이 되었다. 이번 해커들의 공격은 특이하게 IT 네트워크 관리 솔루션 소프트웨어 업체인 솔라윈즈의 ‘오리온’ 업데이트 체계에 악성 코드를 넣어 약 1만 8천여 명의 고객 업체들에게 막대한 피해를 끼쳤다.
솔라윈즈는 전세계 약 30만 고객 회사를 가지고 있으며, 포춘지 선정 500대 기업 가운데 400 곳이 넘는 기업이 사용하고 있다. 특히, 미 국무부와 상무부를 비롯한 연방 기관 뿐만 아니라 미국 10대 통신업체 및 전 세계 유수의 대학도 주요 고객이다. 따라서 이번 해킹 공격은 미국 정부 기관 뿐만 아니라 마이크로소프트 까지도 광범위하게 공격을 받게 되었다.
솔라윈즈 엔지니어 부서들이 대부분 체코, 폴란드, 벨라루스에 있는 작은 사무소로 옮겼고, 러시아의 요원들이 손상시킨 오리온 네트워크 관리 소프트웨어에 폭넓게 접근할 수 있었던 계기로 밝혀졌다. 이것에 대하여 트럼프 전 대통령은 트위터를 통해 방대한 사이버-스파이 공격의 심각성을 우려하고 중국의 책임도 있을 수 있다고 말했지만 자세히 설명하지 않았다. 그러나 백악관 국가안보회의는 스티븐 므누신 전 재무장관을 포함한 몇몇 각료들과 국가 안보 지도자들을 소집해 지금까지 알려진 해킹의 심각성과 피해 해결 방안에 대해 논의했다. 한편, 미국 상원 정보위원회 위원인 마크 워너도 이번 사건이 심상치 않다고 다음과 같이 강조했다.
이번 해킹 사건이 처음 우려했던 것보다 많이, 훨씬 더 심각하다.
미국 재무부, 상무부, 상무부 산하 통산 정보 관리청(NTIA)등이 최초 공격 대상이었다. 해커들이 재무부 사무실 PC의 네트워크에 접근한 후 사용하는 암호화 키를 훔칠 수 있게 되어 여러 마이크로소프트 클라우드 호스팅 이메일 계정에 대한 합법적인 접근 권한을 얻는 데 필요한 자격 증명을 만들 수 있게 되었다. 수십 개의 재무부 이메일 계정을 훼손하고 주요 연방 정부 기관을 대상으로 고위 관리들이 있는 사무실 PC 에도 침범한 걸로 조사되었다.
또한 마이크로소프트도 자체 조사를 했는데, 이번 사이버 공격의 목표가 된 곳은 40여 곳에 달했다. 피해 조직의 수와 지역 범위는 계속 증가할 것으로 내다보았다. 또한 앞으로 계속 공격을 멈추지 않을 것으로 예측 했다. 이번 공격에 당한 고객들의 80% 가량은 미국뿐만 아니라 캐나다와 멕시코와 같은 미국 대륙 외에 유럽 지역의 벨기에, 스페인, 영국, 중동 지역의 이스라엘과 아랍에미리트연합(UAE) 등 전 세계로 추가되고 있다고 말했다.
그 뿐만 아니다. 세계가 감당할 수 없는 위험으로 지난 4년 동안 우크라이나에서 한 나라의 컴퓨터를 10% 이상 무력화시킨 방법을 목격했다. 최근에는 전쟁에서 재래식 무기를 사용하는 것과 마찬가지로 세계 보건 기구를 상대로 공중 보건 부문에 대한 병원에 대한 사이버 공격을 너무 많이 한 기록 보고서도 보고 되었다.
이것은 어떤 한 국가가 단순히 다른 나라의 컴퓨터 네트워크를 감시하거나 해킹하려고 시도하는 경우가 아니라 기술 공급 전체 망에 대한 무차별적인 대규모로 전 세계를 목표로 한 공격이었다. 그러나 러시아 정부는 이러한 해킹 사건에 대해 전면 부인했다.
국가 안보를 위협하는 다양한 해킹에 대하여 미국 바이든 대통령은, “오늘날 사이버 보안, 개인정보 보호, 인공 지능, 환경 지속 가능성, 인권, 이민자의 권리 및 자선 사업을 포함하여 기술 및 사회의 교차점과 관련된 중요한 문제에 대해 정부가 국가 안전을 주도한다. 또한 민간 IT 업계와 기술의 보호 약속과 위험에 대해 지역 사회와 국가가 직면하는 통제력을 협력해 나갈 것” 이라고 발표하면서 직접 더 많은 사이버 보안 전문가들을 고용할 것으로 알려졌다.
현재 모건 스탠리 총책임을 지고 있으며, 전 국가 안보위원회의 대테러 이사였던 젠 이스털리와 골드만 삭스 보안 책임자인 에릭 골드스테인이 새로운 사이버 보안팀을 이끌 것으로 예상되고, 트럼프가 해임한 크렙스 국토안보부 사이버·인프라 보안국(CISA) 국장을 대신해 전 오바마 행정부에서 일했던 로버트 실버스를 임명할 예정이다.
미국 정부뿐만 아니라 전 세계 비즈니스 소프트웨어를 서비스하는 클라우드 시장에서 큰 규모의 데이터 센터를 가지고 있는 마이크로소프트도 솔라윈즈 업데이트를 우회로 한 공격은 막지 못했다. 오피스 365 소프트웨어 제품 군을 포함하여 윈도 운영체제 접근은 했지만 운영체제 소스 코드를 탈취한 흔적은 발견하지 못했다고 발표했다.
따라서, 마이크로소프트는 다음과 같이 향후 공격을 막을 수 있도록 마이크로소프트 내부 뿐만 아니라 기업과 정부에게 기술적으로 다음과 같이 3가지 주요한 권고 사항을 발표했다.
첫째, 솔라윈즈 해킹이 폭로된 후 국가안전위원회(NSA)는 "악성 사이버 공격자들이 사내외 서명 키를 얻을 수 없다면, 그들은 서비스 공급자가 액세스 제어 결정을 내리는 데 사용하는 개방형 표준 XML 마크업 언어로 구성된 SAML 토큰을 위조하기 위한 악성 인증서 신뢰 관계를 추가할 수 있는 충분한 관리 권한을 클라우드 테넌트(Tenant) 내에서 특정권한으로 모두 접근할 수 있는 권한을 얻으려 시도 할 것이다."라고 경고했다.
이는 멀티 팩터 인증은 그러한 침입으로 인한 손상된 높은 권한 계정이 클라우드 리소스에 액세스 하기 위해 SAML 토큰을 위조하여 중요한 제어 수단 될 수 있으므로 향후 유사한 수준의 정교함 공격을 방지하기 위해 고객들에게 보안 하우스 클리닝을 수행할 것을 촉구했다.
다시 말해서, 멀티 팩터 인증(MFA)을 배포하고 사용자 및 벤더 계정에 대한 사용 권한을 강화했다. 권한이 많은 파트너 또는 벤더 계정에 멀티 팩터 인증(MFA), IP 범위 제한, 장치 규정 준수, 접근 권한 리뷰 등 추가적인 보호가 부족하다고 지적했다. 마이크로소프트 보안 팀이 추적하는 손상된 계정의 99.9%가 멀티 팩터 인증(MFA)을 사용하지 않는 것 또한 그 근거가 되었다.
둘째, IT 네트워크 내부의 모든 것이 안전하다는 가정을 없애는 것이 중요하다. 이른바 조직 내의 사용자 계정, 엔드포인트 장치, 네트워크 및 기타 리소스들의 보안을 명시적으로 검증하는 "제로 트러스트(zero trust)” 사고방식을 채택할 것을 권고했다.
셋째, 애저 액티브 디렉터리(Azure AD)와 같은 클라우드 기반 ID 시스템이 사내 인트라넷(DB) ID 시스템보다 안전하다고 주장했다. 애저 AD의 클라우드 기반 암호 보호 기능이 뛰어나므로 취약한 암호, 최근 암호 스프레이 감지 기능, 계정 손상 방지를 위한 향상된 인공지능으로 제거해 줄 수 있다고 한다.
이번 솔라윈즈 해킹 사건은 비록 신뢰된 제 3 자 공급자일 지라도 현재의 네트워크 보안이 얼마나 취약하고 전 세계에 위협을 가할 수 있다는 것을 이해했다면, 이제부터 우리는 미래를 보호하는 방법으로 새로운 방식으로 데이터를 접근하여 공유해야 한다. 모든 것을 공유해야 하는 것이 아니라 개인 정보를 중점적으로 보호하며 공유해야 하며, 공공 부문과 민간 부문 간의 적절한 구분과 역할에 대해서도 구분 지어 안전하게 보호해야 한다.
예를 들어, 얼굴 인식과 관련하여 사람들은 휴대전화나 노트북을 잠금 해제하거나 특정 날에 실종된 아이를 식별하고 가족을 재결합할 수 있는 편리함을 높이 평가한다. 그러나 얼굴 인식의 위험, 사람들의 기본 권리 보호에 대한 위험에 대해 반면에 매우 걱정한다. 더욱이 머신 러닝과 같은 인공 지능은 완전히 다양한 상업적 환경에서 편견과 차별의 위험을 만들 수 있는 방식으로 사용되거나, 전쟁 게임에서 본 바로 그 시나리오대로 인류의 위험을 가할 수 있는 전쟁 무기에 대한 통제력을 잃을 수도 있기 때문이다.
지난 수년 동안 우리 모두를 하나로 모으고 기술이 어디로 가고 있는지 세계에 보여주면서 문자 그대로 사람들에게 미래를 보여주는 데 놀라운 역할을 했던 세계 가전 쇼(CES)의 마이크로소프트 기조연설에서 브래드 스미스 사장의 이번 솔라윈즈 해킹 사건 보다 더 심각한 미래의 위험으로 인공지능을 한 예로 뽑았고 미래에 대한 보안 대처에 대하여 다음과 같이 촉구했다.
인공지능과 같은 기술은 더 밝은 미래로 이끄는 길이 될 수 있다. 인류의 큰 도전에 대해 생각할 때마다 과거의 다른 성공에서 영감을 얻는 것도 도움이 된다. 그러나 기술에는 양심이 없지만 사람에겐 있다. 그 기술을 만들거나 사용하는 사람은 양심을 행사해야 한다. 기술이 선을 위해 사용되는지 아니면 악을 위해 사용되는 지를 사람들은 결정할 수 있다. 그것이야 말로 우리의 진정한 도전이자 기회이다. 우리가 만드는 기술들이 세상에 봉사하도록 보장하는 우리의 책임이기 때문이다.