정용환 기자
마이크로소프트 보안팀이 2024년 1월 12일 회사 시스템에 대한 국가 규모 공격을 감지했다고 발표했다. 마이크로소프트는 곧바로 대응 절차를 시작하고 악의적 활동을 차단하고 공격을 완화, 위협 액터에 대한 추가 액세스를 거부하는데 성공했다고 설명했다. 마이크로소프트는 회사 시스템에 사이버 공격을 가한 건 노벨리움으로 알려진 러시아 정부 지원을 받는 해킹 그룹인 미드나이트 블리자드(Midnight Blizzard)로 확인했다.
2023년 11월 말 무렵부터 위협 액터가 패스워드 스프레이 공격을 구사해 비프로덕션 테스트용 테넌트 계정을 침해해 마이크로소프트 시스템을 해킹하는 발판을 획득했다. 그런 다음 침해된 계정 자격 증명을 악용하고 마이크로소프트 사이버 보안, 법률 및 기타 부서에 속한 직원 이메일 계정 극히 일부에 액세스해 이메일과 첨부 파일을 유출했다고 마이크로소프트는 설명하고 있다.
마이크로소프트 임원 이메일 주소가 위협 액터에 의해 해킹됐다는 건 마이크로소프트가 규제 당국에 제출한 서류에서도 설명하고 있다. 마이크로소프트는 회사 직원 이메일 계정을 해킹한 위협 액터가 러시아 정부 지원을 받는 해킹 그룹인 미드나이트 블리자드임을 확인했다. 마이크로소프트에 따르면 미드나이트 블리자드는 자신에 대한 정보를 수집하기 위해 마이크로소프트 직원 이메일 주소를 해킹했다고 밝혔다. 마이크로소프트는 이메일 주소가 해킹된 직원에게 통지를 했다고 한다.
미드나이트 블리자드 공격은 마이크로소프트 제품이나 서비스 취약점으로 인해 발생하지 않는다는 설명이다. 또 현재 미드나이트 블리자드가 고객 환경, 프로덕션 시스템, 소스 코드, AI 시스템 등에 액세스한 흔적도 확인되지 않았다. 따라서 마이크로소프트는 어떤 조치가 필요한 경우 고객에게 통지할 것이라고 밝히고 있다.
마이크로소프트는 미드나이트 블리자드 사이버 공격에 대해 이번 공격은 미드나이트 블리자드와 같은 풍부한 리소스를 갖춘 국가 지원 위협 액터가 모든 조직에 지속적 위험을 초래하고 있다는 걸 암시한다고 밝혔다.
더구나 국가가 자원과 자금을 받고 있는 위협 액터 존재를 감안할 때 보안 비즈니스 위험에서 취해야 할 균형은 변화하고 있는 게 급선무라는 걸 부각했다. 마이크로소프트가 소유한 레거시 시스템과 사내 비즈니스 프로세스에 현재 보안 표준을 적용하기 때문에 변경 사항이 기존 비즈니스 프로세스를 혼동시킬 수 있는 경우에도 곧바로 행동을 일으킬 것이라면서 오래된 시스템과 비즈니스 프로세스에서도 첨단 보안 표준을 채택하는 것에 대한 중요성을 강조했다.
덧붙여 마이크로소프트는 이번 사이버 공격에 대해 조사를 계속하고 있어 조사 결과에 근거해 추가 조치를 강구하는 것과 동시에 계속 법집행기관, 적절한 규제 당국과 협력해 나가는 걸 표명하고 있다. 마이크로소프트는 또 커뮤니티가 위협 액터에 대한 경험과 관찰 모두에서 이익을 얻을 수 있도록 더 많은 정보를 공유할 것이라고 덧붙였다.
미국 CISA 관계자는 이 사건에 대한 추가 통찰력을 얻고 그 영향을 이해하기 위해 마이크로소프트와 긴밀하게 협력해 다른 잠재적 피해자 보호에 기여할 수 있도록 최선을 다하고 있다고 밝혔다. 미드나이트 블리자드는 솔라윈드(SolarWinds)가 제공하는 네트워크 감시 소프트웨어인 오리온 플랫폼(Orion Platform)을 이용한 미국 재무부와 국무부, 국가핵안보국 등 부처, 마이크로소프트와 시스코 등 대기업에 대한 대규모 사이버 공격을 한 것으로 알려져 있다. 미드나이트 블리자드의 오리온 플랫폼을 이용한 사이버 공격은 지난 10년간 가장 심각한 사이버 공격 중 하나로 평가받고 있다.
덧붙여 마이크로소프트는 과거에도 미드나이트 블리자드로부터 사이버 공격을 받고 있어 이 때도 사용된 수법은 패스워드 스프레이 공격이었다. 그 밖에도 미드나이트 블리자드가 중ㄹ소기업 기술 지원인 척하며 마이크로소프트 팀즈를 통해 메시지를 보내고 사용자가 로그인을 인증하도록 하는 피싱 공격을 하고 있었다는 것도 밝혀졌다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
이원영 기자
