유명 사이버 보안 업체인 파이어아이(FireEye)가 국가 지원 해커들의 손에 당했다. 정체 모를 해커들이 세계적으로 손꼽히는 방어자의 시스템에 침투한 후 레드팀 도구들을 훔쳐갔다고 CEO인 케빈 맨디아(Kevin Mandia)가 자사 블로그를 통해 발표했다. 현재 파이어아이는 FBI와 마이크로소프트와 사건을 조사 중에 있다고 한다.

이 공격은 저희가 그 동안 흔히 보아왔던 사이버 공격과는 조금 궤를 달리합니다. 공격자들은 세계 최정상급 수준의 기술력을 발휘해 파이어아이라는 조직을 표적으로 삼고 맞춤형 공격을 실시했습니다. 고도의 훈련을 받은 자들이며, 특히 운영 보안(operational security)에 있어 전문가들로 추정됩니다. 짜임새 있는 공격과 놀라운 의지력을 가지고 파이어아이를 표적으로 삼았으며, 은밀하게 움직이면서 저희의 보안 장치들과 포렌식 모니터링 체제를 하나하나 무력화시켰습니다. 과거에 본 적 없었던 여러 기술들을 다양하게 사용하기도 했습니다.”

공격자들이 침해하는 데 성공한 것은 파이어아이의 레드팀 평가 도구들이다. 고객들의 보안 현황을 평가하는 데에 파이어아이가 사용하는 것들이다. 이 때문에 현재 파이어아이는 해당 도구들과 관련된 고객 기업들에 “도구들의 악의적 혹은 수상한 사용 시도를 탐지하는 방법을 제공 중에 있다”고 한다. 아직까지는 수상한 점이 탐지되지 않았지만 이미 대책이 마련됐다고 맨디아는 밝히며 이를 깃허브(https://github.com/fireeye/red_team_tool_countermeasures)에 공개했다.

파이어아이는 아직까지 특정 국가를 지목하지는 않은 상태다. 하지만 뉴욕타임즈는 러시아가 배후에 있는 것 같다고 보도했다.

맨디아는 “공격자들의 궁극적인 목적은 파이어아이의 고객인 것으로 보인다”고 하며 “파이어아이와 거래해오고 있던 특정 정부 기관”이라고 밝혔다. 그렇지만 파이어아이가 현재 진행하고 있던 여러 프로젝트와 관련하여 고객 정보나 파이어아이 장비들로부터 수집된 메타데이터에 접근하지는 못한 것으로 보인다고 한다. 하지만 파이어아이 내부 시스템들에 접근하는 데에는 성공했다. “만약 고객 정보가 유출된 사실이 밝혀지면, 곧바로 해당 고객에게 그 사실을 알릴 것입니다.”

맨디아는 공격자들이 파이어아이의 방어 시스템을 어떤 식으로 통과했는지 구체적으로 밝히지 않았다. 하지만 보안 업체라고 해서 해커들의 공격으로부터 안전하다고 볼 수 없다는 사례는 과거에서부터 익히 있어 왔다. 과거 해킹팀(Hacking Team)이라는 이탈리아 보안 업체도 침해를 당했었고, 심지어 NSA의 해킹 툴도 인터넷 상에 공개된 적이 있었다.

보안 업체 밤베넥 랩스(Bambenek Labs)의 회장인 존 밤베넥(John Bambenek)은 “이제부터 남은 과제는 파이어아이가 깃허브에 공개한 대응 도구들을 파이어아이 솔루션 사용자들에게 빨리 배포하는 것”이라고 지적했다. 한 마디로 시간의 싸움이 지금부터 진행된다는 것이다.

“아마도 공격은 은밀하게 진행될 공산이 큽니다. 즉, 공격이 일어나도 탐지하기 힘들 거라는 뜻입니다. 그러므로 파이어아이와 조금이라도 관련이 있다면 이번에 깃허브를 통해 배포하고 있는 대응책을 반드시 설치해야 할 것입니다. 지금 그것이 우리가 할 수 있는 최선의 방어입니다.” 밤베넥의 설명이다. “제일 먼저는 IDS/IPS 장비에 먼저 적용하고, 엔드포인트 탐지 도구들에 적용하시는 걸 제안합니다. 그 다음으로는 이런 장비들이 어떤 식으로 작동하는지 이해도를 높여야 하는데, 그래야 공격자들이 변화를 꾀할 경우 바로 탐지할 수 있게 됩니다.”

밤베넥은 “파이어아이의 레드팀 도구들은 보안 솔루션들을 회피하는 데에 훌륭한 기능을 가지고 있고, 공격자들은 이 부분을 탐냈을 것”이라고 예상하고 있다. “파이어아이 솔루션만 훔치면 보안 솔루션을 피해갈 수 있는데, 왜 굳이 공격 표적을 탐구하고 분석하겠습니까? 이번 솔루션 탈취로 공격자들은 큰 이득을 본 것입니다.”

보안 업체 디지털 셰도우즈(Digital Shadows)의 부회장인 릭 홀란드(Rick Holland)는 “파이어아이의 레드팀 도구들이 유출됐다면 여러 조직들에 치명적으로 작용할 것”이라고 예상한다. “공격자들이 이 도구를 해커들 사이에 퍼트리기라도 한다면, 방어하는 입장에서는 앞으로 여러 가지 문제에 당면하게 될 겁니다. 해커들로서는 사이버 범죄 시장으로의 진입 장벽을 더욱 낮출 수 있게 되고요.”

3줄 요약
1. 해킹 방어 업체 파이어아이, 고차원적 수준 가진 해커에게 뚫림.
2. 공격자들은 파이어아이의 레드팀 도구들을 훔쳐간 것으로 보임.
3. 이 도구가 확산되면 사이버 범죄자들의 공격 효율이 크게 높아질 것

출처:https://www.boannews.com/media/view.asp?idx=93276