지난해 말, 미국 정부 기관과 여러 기업을 고객사로 둔 미국 IT 기업 솔라윈즈가 해킹 공격을 당하면서 미국 전역의 사이버 보안과 국가 안보에 비상이 걸렸다. 러시아 정부 주도 공격으로 알려진 이 해킹 공격은 어떤 식으로 이루어진 것일까?

온라인 테크 매체 블리핑 컴퓨터의 보도에 따르면, 마이크로소프트가 솔라윈즈 해킹 수법 조사 결과를 아래와 같이 발표했다.

솔라윈즈 해킹, 일부는 예방할 수 있었다?

이미 알려진 바와 같이 러시아 해커 집단은 각종 수법과 포렌식 방해 행위 등을 이용해 솔라윈즈의 악성 공격 감지 능력을 저하했다.

마이크로소프트는 "솔라윈즈 공격의 배후에 있는 세력은 매우 능숙하면서 조직적으로 공격을 개시해, 운영 보안 과정에서 공격을 추적하지 못하도록 막으면서 위험 감지를 최소화했다"라고 설명했다.

이어, "마이크로소프트365 디펜더의 원격 측정 기법을 활용해 해커의 전략과 수법, 공격 개시 과정을 살펴본 결과, 일부 공격은 애저 센티넬 쿼리나 다른 보안 툴로 감지하고 피해를 예방할 수 있었던 것으로 확인됐다"라고 밝혔다.

현재, 마이크로소프트는 미국 비영리단체 마이터(MITRE)와 함께 표준 프레임워크인 마이터 어택(MITRE ATT&CK)을 업데이트 해, 솔라윈즈 해킹에서 발생한 각종 신종 사이버 공격이 등장하는 것을 예방하고 있다.

해킹 공격 수법

마이크로소프트의 설명에 따르면, 지난해 2월에 DDL 백도어가 설치돼, 3월 말부터 솔라윈즈의 보안이 악화되기 시작했다.

또, 지난해 6월경 솔라윈즈의 바이너리에서 발생한 코드 보안이 약화됐다. 이 당시, 해커가 주요 공격 대상을 지정하고, 백도어 배포를 넘어 활성화 단계로 행동을 옮기기 시작했음을 짐작할 수 있다. 그 후, 코발트 스트라이크(Cobalt Strike)를 이용해, 키보드로 공격을 조작한 것으로 보인다.

한편, 미국 국토안보부와 국방부, 사이버 사령부, 연방수사국(FBI) 등 미국의 여러 정부 기관이 솔라윈즈의 고객으로 포함돼, 미국 정부 내 여러 기관도 피해를 볼 것이라는 우려가 제기됐다.