“누가, 언제, 무엇을 해킹했는가” 솔라윈즈 공급망 공격 타임라인

2020년 솔라윈즈(SolarWinds) 공격에 대한 세부 사항은 계속 전개되고 있으며, 최종 피해가 집계되기까지는 몇 년이 걸릴 수 있다.
 
리서치 조사기관인 옴디아(Omdia) 보안 운영 수석 분석가 에릭 파리조는 “솔라윈즈 소프트웨어 공급망 해킹이 사상 최대의 피해를 가져온 사이버 공격이라고 말하기 어렵지만 공급망이 상당한 위험을 내포하고 있다는 보안업계의 잦은 경고에도 불구하고 많은 사람의 허를 찔렀다”라고 말했다. 

솔라윈즈 공격은 중대한 물리적 결과를 초래할 수 있는 전례가 없는 사항이다. 위험 관리 및 산업 엔지니어링 전문가이자 리치먼드대 경영학과 교수 시탈 테크디는 “이 공격은 주요 인프라 제공업체에 영향을 미쳐 잠재적으로 에너지 및 제조 역량에 영향을 미칠 가능성이 있으며, 심각한 피해를 초래할 수 있는 중차대한 사건으로 취급해야 한다”라고 말했다. 

현재까지 솔라윈즈 해킹과 관련된 사건들이 어떻게 전개되어 왔는지에 대한 타임 라인은 다음과 같다. 

 
2020년 12월 8일, 공격은 어떻게 발견됐는가

사이버보안 업체인 파이어아이(FireEye)는 그들이 국가주도 공격에 피해를 입었다고 발표했다. 파이어아이 보안팀은 침투테스트에서 윤리적 해커가 사용하는 애플리케이션이 포함된 레드팀 툴킷을 도난당했다고 보고했다. 

  
2020년 12월 13일. 선버스트, 초기 탐지

파이어아이는 자체 레드팀 툴킷에 대한 국가주도 공격을 조사하는 과정에서 공급망 공격을 발견했다. 연구진은 공격자가 솔라윈즈 소프트웨어인 솔라윈즈 오리온 비즈니스 소프트웨어 업데이트를 트로이목마화해 악성코드를 유포하는 백도어에 진입했다는 증거를 우연히 발견했다. 파이어아이는 이를 선버스트(SUNBURST)라고 명명했다. 

2020년 12월 13일. CISA, 긴급 지침 발행 

미국 CISA(Cybersecurity and Infrastructure Security Agency)는 영향을 받은 정부 기관에 포렌식 조사를 목적으로 몇 가지 조치를 취하고, 2019.4부터 2020.2.1 HF1까지의 솔라윈즈 오리온 제품 버전의 전원을 끄고 즉시 연결을 해제하거나 네트워크에서 차단하라는 긴급 지침 21-01을 발행했다. 

2020년 12월 14일. 워싱턴 포스트, 러시아 해커 그룹의 소행으로 보도 

워싱턴포스트는 이 공격이 러시아 해외 정보 기관인 SVR과 연관이 있는 코지베어(Cozy Bear)로 알려진 러시아 해커 그룹에 의한 공격이라고 보도했다. 

2020년 12월 15일. 피해자 지명 

월스트리트 저널은 미국 상무부와 재무부, 국토안보부, 국립 보건원, 국무부가 모두 영향을 받았다고 보도했다. 여러 보안 관계자와 공급업체는 공격이 예상보다 훨씬 더 빠르게, 널리 확산됐다는 사실에 심각성을 표시했다. 초기 공격 날짜는 2020년 3월 경으로 확정했으며, 이는 공격을 탐지한 12월까지 몇 달동안 공격을 진행했다는 것을 의미한다.  

또한 더 많은 기술적 세부 사항도 나타나기 시작했는데, 공격자가 악의적인 활동을 얼마나 잘 다뤘는지, 그리고 탐지가 어려운 이유를 보여줬다. 

2020년 12월 17일. 새로운 피해자 공개 

미국 DOE(Department of Energy)와 미국 핵무기 비축량을 관리하는 NNSA(National Nuclear Safety Administration)가 이 공격의 추가 피해자로 공개 지명됐다. 

2020년 12월 19일. 200곳 이상의 추가 피해 기관 및 기업 확인

사이버보안 업체인 리코디드 퓨처(Recorded Future)는 공격을 받은 전 세계 정부 기관 및 기업의 목록을 추가로 확인했지만, 그들의 신원을 공개하지 않았다. 
 
도널드 트럼프 당시 미 대통령은 트위터를 사용해 이 공격에 대한 첫 번째 댓글을 남겼다. 트럼프는 공개적으로 러시아가 아닌 중국이 출처라고 주장했으며, 해킹을 사기라고 설명했다. 마이크 폼페이오 미 국무장관을 비롯한 행정부 고위 인사들은 같은 날 “상당히 분명하게 말할 수 있는 하나는 이 공격 활동을 한 것은 러시아인이다.”라고 이의를 제기했다.  

2020년 12월 31일. 마이크로소프트, 피해 발표 

마이크로소프트는 러시아 공격자가 소스코드의 일부를 침해했다고 밝혔다. "공격자들은 자사의 코드, 제품, 이메일을 수정할 수 없었고, 그들은 다른 피해자들을 공격하기 위해 마이크로소프트 제품을 사용하지 않았다"라고 말했다. 이로 인해 공격의 시작은 공격자가 솔라윈즈를 침해한 것이 2019년 10월 이전부터 시작된 것으로 여겨지고 있다. 

2021년 1월 5일. FBI, CISA, ODNI, NSA 공동 성명 발표 

FBI, CISA, ODNI(Office of the National Director of Intelligence), NSA(National Security Agency)가 공동으로 사이버 통합 조정 그룹(Cyber Unified Coordination Group)의 구성에 관한 성명을 발표했다. 

이 성명은 러시아 출신으로 추정되는 APT 공격자가 최근에 발견된 정부 및 비정부 기관의 사이버 침해 대부분 또는 전부에 대한 책임이 있음을 나타낸다. 

2021년 1월 6일. CISA, 추가 지침 발표

CISA의 추가 지침에 따라 솔라윈즈 오리온 버전을 운영하는 미국 정부기관은 포렌식 분석을 수행해야 했다. 해당 기관들은 특정 강화 요구 사항을 준수하는 부서 레벨 CIO의 보고서를 제출해야 했다. 기관별 CIO 보고서 마감일은 2021년 1월 19일, 1월 25일이었다. 

2021년 1월 27일. CISA, 악성코드 슈퍼노바 보고서 발표

CISA는 오리온 플랫폼의 취약점을 사용해 배포된 악성코드 슈퍼노바(Supernova)에 대한 보고서를 발표했다. 

2021년 1월 29일. 솔라윈즈, 선버스트와 슈퍼노바에 대한 권고 발표 

솔라윈즈는 선버스트와 슈퍼노바에 대한 권고안을 발표했다. 

2021년 2월 19일. 바이든 미 행정부, 솔라윈즈 공격에 대한 러시아 처벌 선언

바이든 미 행정부는 솔라윈즈 공격에 대해 러시아를 처벌하겠다고 선언했다. 미 국가안보고문인 제이크 설리번은 CNN과의 인터뷰에서 바이든 행정부는 공격자의 신원을 추가로 파악하기 위해 조사를 벌인 후, 광범위한 대응을 검토할 것이라고 밝혔다.  

2021년 2월 23일. 첫 번째 미 의회 청문회 

마이크로소프트와 파이어아이는 솔라윈즈 공격에 대해 미상원 정보위원회에서 증언했다. 청문회 기록과 비디오는 시팬(C-Span)에서 확인할 수 있다. 마이크로소프트 사장 브래드 스미스는 “연구진은 적어도 1,000명의 매우 숙련되고 유능한 엔지니어들이 솔라윈즈 해킹에서 작업했다고 믿고 있다고 말했다. 

스미스는 상원 의원들에게 “이번 작전은 우리가 본 작전 가운데 가장 규모가 크고 정교한 공격”이라고 말했다. 스미스는 공격 전후 마이크로소프트의 행동을 옹호했고, 모든 공격 행위의 주체를 러시아로 지목했다. 

2021년 2월 26일. 2차 청문회 

미국 하원 감독개혁위원회와 국토안보위원회는 합동 청문회를 열어 솔라윈즈 오리온 소프트웨어를 겨냥한 공급망 공격과 다른 사이버 공격 등 정부와 민간 네트워크에 영향을 미치는 최근 사이버보안 사고를 조사했다. 12월 17일, 위원회는 사이버 공격에 대한 조사를 시작했으며 12월 18일, 통합 조정 그룹은 공격에 대해 전화로 기밀 브리핑을 제공했다. 

2021년 2월 24일. 솔라윈즈, FAQ: 보안 권고 사항을 발표

솔라윈즈는 FAQ: 보안 권고 사항을 발표했다. 이 권고는 솔라윈즈 고객에게 영향을 받았는지 여부를 확인하는 방법, 취해야 할 조치 및 관련 질문에 답변에 대한 추가 지침을 제공했다.   

2021년 3월 15일. FBI, '수사 진행 중' 

FBI 국가공보실 공보부 대변인은 솔라윈즈 공격의 현재 상태에 대한 본지의 질문에 “수사 진행 중”이라고만 밝혔다. 

2020년 3월 28일. 트럼프 행정부 DHS 책임자, 이메일 해킹 

AP통신은 솔라윈즈 공격자가 트럼프 행정부 DHS(Department of Homeland Security) 책임자와 타국에서 위협 사냥 업무를 맡은 사이버보안 직원의 이메일 계정에 접근할 수 있었다고 보도했다. 

향후 일어날 사항 

미국과 전 세계가 솔라윈즈 공격의 비용과 규모를 측정하는 동안에도 이 공격의 영향은 계속된다는 것은 모두에게 명백하다.
 
보안 컨설턴트이자 디펜시브 시큐리티 핸드북(Defensive Security Handbook)의 공동 저자인 아만다 베를린은 “여전히 취약한 시스템이 존재하거나 취약한 시스템이 패치된 경우에도 공격자가 기업이 알지 못하게 지속성을 유지할 수 있었던 데에는 여러가지 이유가 있다. 일부 솔라윈즈 공격은 자사의 네트워크에 솔라윈즈가 있다는 사실조차 알지 못할 수 있다. 오리온을 설치한 직원이 더 이상 고용되지 않거나 주요 직원들이 이 소식을 듣지 못했거나, 기업이 이를 탐지할 수 있는 도구를 가지고 있지 않을 수도 있다. 너무 많은 환경이 무슨 일이 일어나고 있는지에 대한 가시성을 제한하고 있기 때문에 무언가가 잘못되기 전까지는 결코 알지 못할 수도 있다”라고 경고했다. 

어째든 솔라윈즈 공급망 공격에서 배운 교훈을 적용하지 않는다면, 미래는 암울할 것으로 여겨진다. 

옴디아의 파리조는 “장기적인 관점에서 볼 때, 기업은 다른 모든 방어 수단이 실패한다고 가정해 데이터 유출 방지 프로그램이 있는지 확인해야 하며, 공급망 공격을 위한 ‘사이버 킬 체인(cyber kill chain)’을 개발해 이를 예방하거나 방해하거나, 최소한 신속하게 탐지할 수 있는 기회를 가능한 한 많이 만들어야 한다”라고 말했다.   

파리조는 “여기에는 NIST의 C-SCRM(Cyber Supply Chain Risk Management)과 같은 소프트웨어 위험 관리 모범 사례와 구매 전에 소프트웨어 공급업체가 충족해야 하는 일련의 소프트웨어 보안 요구 사항을 수립하는 것 또한 고려해야 한다”라고 덧붙였다. editor@itworld.co.kr