마이크로소프트, 러시아 배후의 IoT 기기 해킹 공격 발견

Network World
러시아의 GRU 군 정보 조직과 연관이 있는 것으로 알려진 '스트론튬(STRONTIUM)' 해킹 그룹이 마이크로소프트 고객사에 대한 IoT 기반 공격을 감행했다가 적발됐다. 마이크로소프트 보안 대응 센터는 최근 이런 내용을 회사 블로그를 통해 공개했다.
 
ⓒ Getty Images Bank

블로그에 따르면, 이번 공격은 지난 4월에 적발됐다. VoIP 폰, 비디오 디코더, 프린터 등 특정 IoT 3개를 겨냥한 공격이었다(이 제품의 구체적인 이름과 제조사는 밝히지 않았다). 기업 네트워크에 대한 접근 권한을 얻는 데 이들 기기를 사용했고, 이들 기기 중 2개는 실제로 해킹됐다. 제조사의 초기 비밀번호를 아무도 변경하지 않았기 때문이다. 나머지 1개도 최신 보안 패치를 설치하지 않은 상태였다.

이렇게 해킹된 기기는 보안 네트워크를 뚫는 백도어로 활용됐다. 해커는 이를 이용해 자유롭게 이들 네트워크를 스캔해 보안 취약점을 찾은 후 다른 시스템에 접속해 더 많은 정보를 빼냈다. 또한, 더 강력한 접속 권한을 얻기 위해 해킹된 네트워크의 관리자 그룹을 조사하고 추가 데이터를 얻기 위해 로컬 서브넷 트래픽을 분석하기도 했다.

스트론튬은 팬시 베어(Fancy Bear), 폰 스톰(Pawn Storm), 소파시(Sofacy), APT28이라는 이름으로도 알려져 있다. 이들은 미국 민주당 전국위원회 해킹, 세계 반도핑 기구 공격, 말레이시아 항공기 격추 사건을 취재하는 기자에 대한 공격, 미국 군인 가족에 대한 살해 위협 등 악의적인 사이버 활동을 펼쳐 왔는데, 그 뒤에는 러시아 정부가 있는 것으로 여겨진다. 실제로 특별검사 로버트 뮬러 측이 2018년 7월에 공개된 기소장에 따르면, 스트론튬 공격의 설계자들은 러시아군 당국자다. FBI는 이들 모두가 이러한 범죄에 연루된 것으로 보고 있다.

마이크로소프트는 정부의 지원을 받는 공격이 발견됐음을 공지하고 지난 12개월간 스트론튬과 관련된 공지가 1,400건 정도 된다고 밝혔다. 이들 공지 5건 중 4건은 정부와 군, 국방, IT, 의료, 교육, 엔지니어링 부문과 관련된 것이었고  나머지 1건이 NGO와 싱크탱크, 다른 정치 관련 기관이었다.

마이크로소프트에 따르면, 이런 사고가 발생하는 가장 큰 이유는 기업이 자사 네트워크에서 운영되는 모든 기기에 대해 충분히 관심을 두지 않기 때문이다. 따라서 무엇보다 기업은 자사 IT 환경에서 운영 중인 모든 IoT 기기를 목록화하고, 각 기기에 맞춰 내부 보안 정책을 적용해야 한다고 조언했다. IoT 기기를 자체 별도의 네트워크로 분리하고 IoT 기기에 대한 정기적으로 패치와 설정 감사도 필요하다고 지적했다. ciokr@idg.co.kr