[아이뉴스24 최은정 기자] 미국 IT인프라 관리 소프트웨어 기업 '솔라윈즈'의 제품 업데이트 과정에서 악성코드가 발견되면서 국내 보안업계 등도 긴장감이 고조되고 있다. 이 제품을 이용하는 국내 기업 등의 피해를 우려해서다. 한국인터넷진흥원(KISA)은 긴급 보안공지를 내고 대응에 나섰다.
15일 KISA는 솔라윈즈 업체의 애플리케이션이 공급망 공격을 받았다며 최신버전 설치 등 대응을 권고하는 내용의 보안공지를 홈페이지에 올렸다. 공급망 공격은 제품·서비스가 공급되는 IT시스템 과정에서 발생하는 사이버 공격을 말한다.
특히 이번 솔라윈즈 앱 업데이트를 받는 사용자의 경우 악성코드 감염 등 2차 피해를 입을 수 있는 만큼 국내 기업·기관 고객의 주의가 요구된다.
![[이미지=아이뉴스24]](https://img-lb.inews24.com/image_gisa/202012/1546926516534_1_175820.jpg)
이번에 공격망 공격을 받은 제품은 솔라윈즈의 '오리온 플랫폼'으로 알려졌다. 이 플랫폼은 기업 내부에서 운영중인 시스템을 모니터링하고 관리하는 데에 쓰인다. '버전2019.4 HF 5', '버전2020.2', '버전2020.2 HF 1'을 사용 중이라면 즉각 최신버전(버전2019.4 HF 6과 버전2020.2.1 HF 1)으로 업데이트를 실시해야 한다.
업데이트 혹은 보안 패치 설치가 불가능한 경우라면 솔라윈즈 서버 격리, 솔라윈즈 서버와 연결된 중요단말 연결 제한, 솔라윈즈 서버의 로컬 관리자 권한을 가진 계정에 대한 범위 제한, 솔라윈즈 서버 관리 계정의 암호 변경 등을 적용해야 한다.
이동근 KISA 침해사고분석단장은 "현재 국내 사용자가 있는지 여부를 국내 총판사를 통해 파악 중"이라고 말했다. 솔라윈즈 국내 총판사는 모아데이터, 하인라인닷넷 등 두 곳이다.
앞서 지난 13일(현지시간) 미국 국토안보부(DHS) 산하 사이버안보·기간시설안보국(CISA)은 모든 연방기관을 대상으로 오리온 제품 사용을 즉각 멈추고 해당 제품을 네트워크와 분리하라는 등의 긴급 명령을 내린 바 있다. 공격 배후로는 러시아 정부의 지원을 받는 것으로 추정되는 해커 조직 'APT29'를 지목하기도 했다.
사이버 보안 기업 파이어아이는 해당 해커 조직이 '썬버스트'라고 불리는 악성코드를 유포하기 위해 솔라윈즈 소프트웨어를 악용했다고 분석했다. 파이어아이 측은 "북미, 유럽, 아시아·중동 지역에서 정부와 컨설팅, 기술·통신사 등이 피해를 입었을 것으로 보인다"며 "이 외에도 추가 피해자가 있을 것"으로 예상했다.
솔라윈즈 측은 지난 14일(현지시간) 블로그를 통해 "오리온 플랫폼 관련해 당사 시스템이 정교한 공급망 공격을 받은 것으로 확인했다"며 "특정 국가에서 감행한 표적형 공격의 가능성이 높은 것으로 파악하고 있다"고 말했다.
전체 고객사 30만곳을 보유하고 있는 솔라위즈는 약 3만3천곳이 오리온을 이용 중이며, 그 중 악성코드를 포함한 이번 업데이트를 설치한 고객사는 1만8천곳 이하라고 밝힌 바 있다. CISA를 포함해 미국 국방부, 국무부, 국가안보국(NSA), 연방수사국(FBI) 등 미국 주요 기관이 솔라윈즈를 쓰고 있는 것으로 알려졌다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기