2020년 12월 미국 정부가 대규모 사이버 공격을 받아 이메일 내용을 감시하는 등 피해가 나왔다는 보도가 나왔다. 지금까지 미국 정부는 해커를 지원하는 특정 국가에 대해 공식적인 언급을 피했지만 새로 발표된 공식 성명에서 해커 집단이 러시아에 의해 조직됐다며 비난하고 있다.
12월 보고된 대규모 사이버 공격은 해커 집단이 정부기관 등을 고객으로 하는 사이버 보안 기업인 솔라윈드(SolarWinds)의 IT 인프라 관리 시스템인 오리온(Orion) 업데이트로 트로이목마인 악성코드(SUNBURST)를 퍼뜨린 게 판명됐다.
선버스트는 HTTP를 통해 외부 서버와 통신하는 백도어를 포함하고 있으며 파일 전송과 파일 실행 시스템, 프로파일링 시스템, 재부팅 시스템, 서비스 비활성화 등을 수행하고 오리온의 정상적 작동을 가장해 데이터를 훔친다. 솔라윈드는 해커 공격에 대해 세련되고 정확히 타깃팅된 국가에 의한 수동 공급망 공격이라고 밝히고 있다.
보안 기업 파이어아이(FireEye)에 따르면 2020년 3∼5월 선버스트를 숨긴 여러 업데이트 파일이 나돌았고 어떤 파일에는 솔라윈드에 의한 정식 디지털 서명도 포함되어 있었다고 한다. 이런 사태에 따라 미국 정부는 오리온 사용을 종료하도록 긴급 경보를 발령했고 마이크로소프트는 해킹에 사용되는 도메인 압수를 하는 등 대응을 하고 있다.
문제가 된 악성코드는 1만 8,000개에 이르는 기관과 기업에 배포됐으며 미국 재무부와 국가통신정보청 NTIA, 미국국립보건원, 사이버보안 인프라 보안 기관인 CISA, 미 국토안보부, 미 국무부 등 국가 기관이 피해를 입었다고 한다. 브래드 스미스 마이크로소프트 사장은 지난 10년간 본 것 중에서 가장 심각한 사이버 공격 중 하나라고 말하기도 했다.
일련의 공격에 대해 보안 업체는 이전부터 러시아 정부 지원을 받은 해커 집단인 APT29(CozyBear)와의 관련성을 지적하고 있다. 마이크 폼페이오 미 국무장관도 사이버 공격에 러시아가 참여하고 있다는 개인적 견해를 밝히기도 했지만 당시에는 미국 정부가 공식적으로 해커 집단과 특정 국가를 연결시켜 언급한 건 아니었다.
그런데 이번 사이버 공격을 받아 미 국가안전보장회의가 설립한 FBI와 CISA, ODNI, NSA로 이뤄진 통합 태스크포스는 2021년 1월 5일 발표한 공식 성명을 통해 조사 결과 러시아를 기원으로 하는 가능성이 높은 APT 공격 행위자가 정부와 민간 네트워크에서 발견된 사이버 침해 대부분 또는 모두에 책임이 있다는 걸 보여준다고 밝혔다.
이번 성명에선 오리온 플랫폼 업데이트를 실시한 1만 8,000개 기관 중 데이터를 훔치는데 중요한 2단계 침해를 받은 수가 적은 것도 지적하고 있다. 지금까지 데이터 침해 대상이 된 미국 정부기관은 10개 미만으로 보여지고 있으며 정부와 민간 부문 직원이 크리스마스와 연말연시를 반납하고 피해 조사와 복구 작업에 임했다고 한다.
또 이번 성명에서 솔라윈드를 통한 해킹이 정보 수집 활동이었다고 언급한 점에도 주목하고 있다. 해킹이 정보 수집 목적이었다고 명확하게 주장한 배경에는 일련의 해킹이 2020년 대통령 선거 결과를 좌우하기 위해 행해진 건 아니냐는 음모론에 종지부를 찍으려는 의도가 있는 것으로 풀이하고 있다. 관련 내용은 이곳에서 확인할 수 있다.