미 정부·군사 인프라 대상 중국발 공격 포착··· 불똥은 마이크로소프트에?

미군의 인프라에 숨어 있는 윈도우 기반 중국 맬웨어가 전 세계 군 기지 사이의 통신 시스템, 전력망, 상수도 공급에 문제를 일으킬 수 있음이 포착됐다. 한 미 의회 보좌관은 ‘시한폭탄’이라고 표현했다. 뉴욕 타임즈는 “중국이 미국 기지의 전력, 수도, 통신을 차단해 병력 배치, 재보급 작전을 중단하거나 늦출 수 있다”라고 보도하며, 영향권의 인프라가 기업과 사람들에게 의해서도 사용되기 때문에 향후 영파가 더욱 심각할 수 있다고 지적했다. 

그러나 미 정부 기관을 겨냥한 중국의 마이크로소프트 제품 해킹 성공 사례는 이뿐만이 아니다. 아웃룩과 클라우드를 표적으로 삼은 해킹이 지나 라이몬드 미 상부무 장관과 여러 국무부 관리의 이메일 계정을 침해하는 데 사용된 바 있다. 마이크로소프트에 따르면 ‘스톰-0558’이라고 불리는 해당 해킹은 스파이 활동과 데이터 탈취, 자격 증명 접근에 초점을 둔다. 

정부를 노린 마이크로소프트 제품 해킹은 이전에도 발생한 적 있다. 그러나 이번에는 다소 다른 양상으로 번질 수 있다. 과거에는 마이크로소프트가 직접적인 영향을 받지 않았던 반면, 이번에는 의회가 조사에 나설 수 있기 때문이다. 한 상원의원은 이미 여러 연방 기관에 마이크로소프트의 부주의와 법 위반에 대해 조사할 것을 촉구했다. 

아웃룩 이메일 해킹
중국의 이메일 해킹은 미군을 겨냥한 것이 아니라 중국 경제에 영향을 끼칠 수 있는 연방 기관을 겨냥한 것이었다. 라이몬도 장관은 중국 군대를 돕고 인권을 침해하는 데 사용될 가능성이 있는 미국 기술의 수출을 금지한 기관의 수장이다. 금지된 제품 중에는 인공지능 및 슈퍼컴퓨터에 사용되는 반도체 칩이 포함되어 있다.

베이징의 관료들은 이 금지 조치가 경제 전쟁의 한 형태라고 비난했다. 또 비난 이상의 조치를 취했다. 라이몬도의 계정뿐 아니라 "의회 직원, 미국 인권 옹호자, 미국 싱크탱크의 이메일 계정도 해킹당했다"라고 워싱턴 포스트는 보도했다.

FBI는 조사 결과 기밀 정보가 누출되거나 도난당한 적이 없다고 주장했다. 그렇다고 해서 유출이 심각하지 않다는 의미는 아니다. 라이몬도, 국무부 관리 등의 개인 이메일을 읽을 수 있었다면 향후 미국의 대중국 거래 계획에 대한 내부 정보가 누설될 수 있다. 

뉴스위크에 따르면 전직 관리들은 이번 해킹으로 “중국이 앤서니 블링큰 국무장관, 라이몬도 상무장관, 재닛 옐런 미 재무장관 등 미국 내각의 고위급 인사들이 6월과 7월에 잇따라 중국을 방문하려는 외교관들의 계획을 들여다볼 수 있었을 것”이라고 말했다. 

한편 중국 해커들은 익스체인지 온라인의 아웃룩 웹 액세스(OWA)와 아웃룩닷컴에서 사용하는 인증 토큰을 위조하여 공무원들의 이메일 계정과 일정 항목에 접근할 수 있었던 것으로 분석되며, 미국 조직과 공무원만 피해자가 된 것이 아니라 서유럽의 공무원들도 피해를 입었다. 

이 해킹은 블리켄이 중국을 방문했을 무렵인 6월 16일에 처음 발견됐다. 마이크로소프트 보안 담당 부사장인 찰리 벨은 블로그 게시물에서 5월 15일에 시작된 해킹에 대한 조치가 내려졌다고 밝혔다. 

군사 인프라 대상 공격
군사 인프라를 표적으로 삼은 맬웨어는 5월에 괌의 통신 시스템에서 이상한 코드를 발견되면서 포착됐다. 괌에는 대만의 침공이나 봉쇄에 대한 미국의 대응에 사용될 가능성이 있는 항구와 대규모 공군 기지가 있기에 미국 관리들은 우려를 표했다.

마이크로소프트는 공격의 배후로 중국 정부가 후원하는 해킹 그룹인 볼트 타이푼(Volt Typhoon)을 지목했다. 해커들은 자신의 흔적을 감추고 감염 사실을 숨기기 위해 각별히 주의를 기울였다. 이들은 라우터, 방화벽, VPN 하드웨어 등 손상된 소규모 사무실 및 홈 오피스(SOHO) 네트워크 장비를 통해 트래픽을 라우팅하여 악성 트래픽 스트림을 정상적인 네트워크 활동과 혼합했다. 또한 커스텀 버전의 오픈소스 도구를 사용해 프록시로 명령 및 제어(C2) 채널을 설정하여 감시망을 피하려는 양상을 보였다.

마이크로소프트는 다음과 같이 결론 내렸다. “마이크로소프트는 이번 볼트 타이푼 캠페인이 향후 위기 시 미국과 아시아 지역 간의 중요한 통신 인프라를 방해할 수 있는 기능을 개발하고 한다는 데에 보통 수준의 확산을 가진다.”

연방 보안 책임자들은 해킹 캠페인이 최소 1년 동안 진행되어 왔다고 보고 있다. 그리고 이 해킹이 괌을 넘어 전 세계 군사 기지의 중요 인프라와 통신 시스템을 포함한 광범위한 표적을 노렸다는 사실을 발견했다. 특히 공격이 잘 숨겨져 있었기에 미 관리들은 문제의 규모에 대해서도 확신하지 못했다. 백악관 상황실에서 일련의 심각한 회의가 열렸고, 바이든 행정부는 의회와 여러 주지사 및 유틸리티 기업을 대상으로 브리핑을 진행했다. 

의회의 개입
미 의회는 이메일 해킹에 초점을 맞춘 조사를 시작했다. 공격자와 더불어 마이크로소프트가 수십억 달러 규모의 계약에도 불구하고 부실한 보안 관행에 대한 책임이 있는지 여부를 조사하고 있다.

양당 상원의원 수 명이 일단 국무부에 서한을 보내 해킹에 대한 자세한 정보와 향후 아웃룩을 더 잘 보호할 수 있는 방법에 대해 요청했다. 이 정도면 꽤 온건한 태도였다. 하지만 이는 그저 시작일 뿐이었다 서한 발송을 주도한 에릭 슈미트 상원의원(R-MO)이 마이크로소프트를 정조준하고 있다. 

슈미트 의원은 서한이 발송되기 불과 몇 주 전에 국방부 CIO인 존 셔먼에게 마이크로소프트의 사이버 보안 도구 구매의 '위험과 혜택'에 대해 의회에 보고하도록 명령하는 조항을 연례 국방 법안에 삽입했다. 슈미트 의원과 다른 의원들은 단일 공급업체에 너무 많은 소프트웨어와 보안 도구를 의존하면 미국이 해커와 스파이에 더 취약해질 수 있다고 우려하고 있다.

론 와이든 상원의원(D-오리건)은 한발 더 나아갔다. 그는 미국 사이버 보안 및 인프라 보안국(CISA), 법무부, 연방거래위원회에 "부주의한 사이버 보안 관행에 대해 Microsoft가 책임을 져야 한다"라는 내용의 서한을 직접 보냈다.

와이든은 솔라윈즈 해킹 캠페인 등 다른 연방 보안 침해 사건도 마이크로소프트의 느슨한 보안 관행으로 인해 발생했다고 주장했다. 그는 메릭 갈랜드 미 법무장관에게 "마이크로소프트의 부주의한 관행이 연방법을 위반했는지 여부를 조사해 달라”라고 요청했으며, 리나 칸 FTC 위원장에게 마이크로소프트의 개인 정보 보호 및 데이터 보안 관행이 "불공정하고 기만적인 비즈니스 관행을 금지하는 등 연방거래위원회에서 시행하는 연방법을 위반했는지를 판단해달라”라고 요청했다.

이 모든 과정에서 마이크로소프트의 과실이 있는지는 아직 드러나지 않았다. 하지만 한 가지 확실한 것은 이번 해킹 사건으로 인해 의회에서 마이크로소프트에 대한 청문회가 열리고 있다는 점이다. 마이크로소프트가 보안 관행을 강화하지 않으면 수십억 달러가 연기로 사라질 수 있는 상황이다. ciokr@idg.co.kr