이원영 기자
중국 정부 계열 해커인 하프늄(Hafnium)이 마이크로소프트 그룹웨어인 익스체인지 서버 취약점을 악용한 공격을 하는 문제로 미국 CISA가 2021년 3월 2일 공공기관에 대해 신속한 대응을 요구하는 긴급 지령을 발령했다. 이 문제에 대해 마이크로소프트는 침입을 감지하는 도구를 공개하고 있지만 해킹을 완전히 방지하는데 이르지 않으며 전문가들은 최소한 3만 개 이상 조직이 이미 해킹을 받고 있다고 지적하고 있다.
마이크로소프트는 3월 2일 익스체인지 서버에서 중국 정부계 해커에 의한 제로데이 공격을 받고 있다고 발표했다. 프록시 로그온(ProxyLogon) 관련 취약점과 관련한 것이라고 한다.
이 문제에 대해 CISA는 3월 2일 긴급지령 21-02를 발령했다. 그 중에서 마이크로소프트 익스체인지 제품을 사용하고 있는 모든 기관과 연방정부 내 민간 부문에 대해 마이크로소프트 패치가 적용될 때까지 시스템을 네트워크에서 분리하도록 요청했다.
CISA가 정부기관에 적용을 요구한 마이크로소프트 패치는 마이크로소프트가 3월 2일 긴급 출시한 익스체인지 서버용 보안 업데이트다. 하지만 이 프로그램은 피해를 완화시키거나 감지하는 데 그치며 공격을 완전히 막을 수 있는 게 아니다. 마이크로소프트 보안대응센터 MSRC는 지금까지 대책에 대해 어디까지나 완화에 불과하며 익스체인지 서버가 이미 침투된 상황 개선이나 공격으로부터 완벽한 보호는 기대할 수 없다고 언급하고 있다.
백악관 측은 3월 5일 기자회견에서 익스체인지 서버 취약점은 광범위하게 영향을 미칠 위험성이 있다고 밝히기도 했다.
구체적인 이번 피해 범위에 대해선 미국에서만 적어도 3만 개 조직이 해킹됐다는 보도도 나오고 있다. 익명을 요구한 사이버 보안 전문가는 중국 해킹 그룹이 마이크로소프트 익스체인지 서버를 운영하는 서버를 이미 수십만 대 장악하고 있다고 밝혔다는 것. 기본적으로 한 조직은 서버 하나에서 익스체인지 서버를 운용하고 있기 때문에 피해를 입은 조직이나 단체도 수십만에 이를 수 있다.
마이크로소프트는 3월 6일 프록시로그온 침입을 탐지하는 도구를 출시하고 있으며 CISA는 해당 도구 사용을 권장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
