블로그 | 러시아의 마이크로소프트 해킹이 불러올 파장

이번에는 해커들이 마이크로소프트 경영진을 공격했다. 이 사건으로 인해 미국 정부는 간과되어온 한 보안 이슈에 집중하게 될 수 있다.
 

마이크로소프트 대상 해킹 사건이 또 발생했다. 아침에 해가 뜨고 밤에 지는 것처럼 이런 일은 전에도 있었고 앞으로도 계속 일어날 것이라고 생각할 수 있다.

하지만 이번에는 다르다. 이번 공격의 표적 마이크로소프트 고객이 아니라 회사의 최고위 임원진이었기 때문이다. 그리고 미드나잇 블리자드, 또는 코지 베어, 더 듀크스, A.P.T. 29 등으로 불리는 이 해커 그룹은 러시아 해외 정보국의 후원을 받는 것으로 추정되는 조직이다. (적어도 2008년부터 활동해 왔다).

그리고 이번 해킹으로 인해 연방 정부가 마침내 마이크로소프트와 윈도우의 지속적인 취약점에 대해 더 강경한 태도를 취할 가능성이 있다. 그 이유를 이해하기 위해 먼저 해킹 자체부터 살펴본다.

간단하고 기본적인 수법에 의한 해킹
미드나잇 블리자드는 네트워크 및 인프라 모니터링에 사용되는 시스템 관리 도구를 제공하는 솔라 윈즈 공급망 공격을 수행한 조직으로 잘 알려져 있다. 솔라 윈즈의 소프트웨어에 맬웨어를 심어 침입한 바 있다. 그 후 이 맬웨어는 미국 국방부, 국토안보부, 재무부 등 8개 이상의 연방 기관과 인텔, Cisco, 팔로알토 네트웍스 등 기술 및 보안 회사를 포함한 수천 개의 고객사에 배포됐다.

마이크로소프트는 당시 이 해킹을 "역사상 가장 정교한 국가 차원의 사이버 공격"이라고 표현했다. 이 해킹에는 민주당 전국위원회 서버에 침투하여 이메일과 문서를 훔쳐서 유출한 행위도 포함됐다.

하지만 이번에는 미드나잇 블리자드가 정교한 해킹 툴을 개발할 필요가 없었다. 마이크로소프트 공격에 기본적인 해킹 수법 중 하나인 ‘비밀번호 스프레이’(password spraying)를 사용했다. 일반적인 비밀번호를 무수히 많은 임의의 계정에 입력한 다음, 그 중 하나가 유효하기를 기대하는 수법이다. 일단 액세스 권한을 얻으면 네트워크를 자유롭게 돌아다니며 다른 계정을 해킹하고 이메일과 문서를 훔치는 등의 작업을 수행할 수 있다.

마이크로소프트는 블로그 게시물에서 미드나잇 블리자드가 비밀번호 스프레이를 사용하여 오래된 테스트 계정에 침입한 다음 해당 계정의 권한을 사용하여 "고위 경영진과 사이버 보안, 법무 및 기타 부서 직원을 포함한 마이크로소프트 기업 이메일 계정"에 침투해 이메일과 첨부된 문서를 훔쳤다고 밝혔다.

회사는 해커들이 처음에는 미드나잇 블리자드 자체에 대한 정보를 노렸다며, "현재까지 위협 행위자가 고객 환경, 프로덕션 시스템, 소스 코드 또는 AI 시스템에 액세스했다는 증거는 없다"라고 주장했다. 또 고객을 안심시키려는 듯 "이번 공격은 마이크로소프트 제품이나 서비스의 취약점으로 인한 것이 아니다"라고 언급했다.

하지만 그 누구도 안심할 수는 없다. 마이크로소프트가 기본적인 사이버 보안 규칙 두 가지를 위반했기 때문에 미드나잇 블리자드의 공격이 성공할 수 있었다. 모든 계정에 강력한 비밀번호를 사용하고, 사용하지 않는 계정은 모두 폐쇄한다는 규칙이다. 이렇게 간단한 규칙도 지키지 않는 회사라면 해킹으로부터 고객을 보호한다고 믿을 수 있을지 의문이 들 수 있다.

또한, 마이크로소프트가 미드나잇 블리자드가 고객 네트워크에 침입하거나 회사의 AI 시스템에 침입하기 위해 액세스 권한을 사용하지 않았다고 단언하지 않았다. 그저 현재까지 그런 증거를 찾지 못했으며 여전히 조사 중이라고만 말했다.

이번 사건이 단순한 공격 이상인 이유
이번 해킹은 특히 너무 쉽게 이루어졌다는 점에서 마이크로소프트 큰 타격을 입혔다. 하지만 더 심각한 문제가 있다. 연방 정부가 마이크로소프트의 보안 프로토콜을 조사할 정도로 분노한 일련의 마이크로소프트 해킹 사건 이후에 이번 사건이 발생했다는 점이다.

워싱턴 포스트는 "정부 관리와 외부 보안 전문가들은 마이크로소프트 서비스 보호의 주요 허점으로 취약한 인증 요구 사항, 테스트 계정, 새 계정 생성의 용이성을 반복해서 지적해 왔다... 금요일의 공개는 또한 국토안보부의 사이버 안전 검토 위원회 등이 지난해 미중 정상회담을 앞두고 중국 정부 해커들이 미국 고위 외교관들의 기밀 이메일을 훔칠 빌미를 제공한 마이크로소프트 보안의 허점을 조사하는 과정에서 나온 것이다"라고 보도했다.

지난해 카네기멜론대학교에서 열린 연설에서 사이버보안 및 인프라 보안국 국장 젠 이스털리는 기업 고객의 약 4분의 1만이 다단계 인증을 사용하다는 점을 거론하며 마이크로소프트를 비판했다. 연방 공무원이 공개적으로 기업을 이런 식으로 표적으로 삼는 것은 극히 드문 일다.

거의 동시에 바이든 행정부는 기술 기업과 민간 업계에 새로 발견된 취약점에 대처하기 위해 시스템을 패치하고 가능한 경우 다단계 인증을 사용하는 등의 모범 보안 사례를 따를 것을 촉구하는 새로운 국가 사이버 보안 전략을 발표했다.

전략과 함께 제공된 팩트 시트는 다음과 같이 경고한다: "부실한 소프트웨어 보안은 디지털 생태계 전반의 시스템적 위험을 크게 증가시키고 미국 시민이 궁극적인 비용을 부담하게 한다. 우리는 소프트웨어 보안을 위해 합리적인 예방 조치를 취하지 않는 기업에게 책임을 전가하기 시작해야 한다."

이번 마이크로소프트 해킹은 이러한 전략을 위반한 전형적인 사례로 보인다. 그러나 이 전략이 실효성을 가지려면 입법 조치가 필요한데, 기술 규제에 관해서는 의회가 손을 놓고 있는 상황이다. 현재로서는 이 전략을 위반해도 "부끄러운 줄 아세요"라고 말하는 정도에 그칠 것으로 보인다.

하지만 이러한 무대책이 영원히 지속되지는 않을 가능성이 크다. 공화당과 민주당은 모두 기술 기업을 주시하고 있다. 클라우드 보안 개선을 위한 1억 5,000만 달러를 포함해 수십억 달러의 연방 계약을 체결한 마이크로소프트가 간단한 사이버 보안 예방 조치조차 준수하지 않으면 결국 일부 계약이 취소될 수 있다. (론 와이든 상원의원이 이미 그렇게 할 수 있다고 명시한 바 있다.)

이번 마이크로소프트의 해킹 사건은 의회가 마침내 조치를 취하게 만드는 계기가 될 수 있다. 

* W. Curtis Preston는 미스터 백업으로 알려진 전문가다.1993년부터 백업, 스토리지, 복구 분야에 종사해왔다. ciokr@idg.co.kr