미국 소프트웨어 회사 솔라윈즈를 겨냥한 해킹으로, 고객사 1만8천곳 가량이 악성코드에 감염된 것으로 나타났다.
미국 증권거래위원회(SEC)는 14일(현지시간) 솔라윈즈 해킹에 대한 보고서를 발표, 이같이 밝혔다.
보고서에 따르면 지난 3월부터 6월 사이에 배포된 솔라윈즈 IT 모니터링 솔루션 '오리온' 2019.4~2020.2.1 버전 앱이 악성코드에 감염됐다. 이를 통해 공격자는 앱 업데이트를 내려받는 고객사에 악성코드를 유포할 수 있었다.
솔라윈즈는 전체 고객사 30만곳 중 3만3천곳이 오리온을 이용 중이며, 이번 해킹 때문에 악성코드를 설치한 고객사는 1만8천곳 이하라고 밝혔다. 다만 미국 지디넷은 로이터를 인용해 해커가 높은 가치를 지닌 소수 대상으로만 집중해 고객사 다수는 영향을 받지 않은 것으로 보인다고 보도했다.
솔라윈즈는 이번 해킹이 어떻게 이뤄졌는지, 해커가 오리온 앱의 업데이트 메커니즘을 지원하는 서버 인프라에 접근할 수 있었는지 등 구체적인 내용은 밝히지 않았다. 그러나 SEC 보고서에서는 솔라윈즈가 오피스365 이메일 및 생산성 도구 계정이 침해된 사실을 마이크로소프트(MS)로부터 확인했으며, 이를 통해 해커가 고객사 데이터 탈취를 시도했는지 조사 중인 것으로 나타났다.
솔라윈즈는 CISA, 사이버사령부, 국방부, 연방수사국(FBI) 등 미국 주요 국가기관을 고객사로 두고 있어 해킹 피해가 더 심각해질 수 있다는 분석이 나오고 있다.
파이어아이는 최근 자사 및 미국 재무부, 통신정보관리청을 공격한 해커와 이번 사고의 배후가 동일한 것으로 추정하고 있다. 이번 해킹에 대해 미국 지디넷은 보안 분야 여러 소식통을 인용, 러시아 정부의 지원을 받는 해킹 그룹 'APT29'이 연관돼 있을 가능성이 높다고 언급했다.
관련기사
- 카카오페이 "공인인증서 자리 대체, 내년이 진짜"2020.12.10
- 보안 기업 '파이어아이'도 해커한테 털렸다2020.12.09
- 해커에 털린 계정 2천만건…정부, 유출 확인 시스템 개발2020.12.08
- 내년 랜섬웨어 표적 공격 확산…협박 수단도 다양화2020.12.07
회사는 오리온을 사용하는 전체 고객사에 대해 이번 해킹에 대한 대응 조치를 안내했다. 또한 이번 해킹에 쓰인 악성코드를 제거하는 보안 업데이트를 15일 배포할 계획이다. 미국 사이버보안 및 인프라 안보국(CISA)과 마이크로소프트, 파이어아이도 이번 해킹 여부 탐지 및 대응 지침을 담은 보고서를 발간한 바 있다.
회사는 지난 1분기 오리온 제품군 관련 매출이 회사 전체 매출의 45%인 3억4천300만 달러(약 3천749억원)을 기록했다고 보고서에서 밝혔다. 이에 미국 지디넷은 고객사가 이번 해킹의 여파로 오리온 앱을 쓰지 않게 될 경우 회사 수익에 큰 영향이 미치게 될 것으로 전망했다.
