글로벌 보안기업 중 하나인 파이어아이가 러시아 정부가 후원하는 해킹그룹의 공격에 당해 ‘FireEye Red Team’ 툴을 탈취당했다.

파이어아이 측은 8일, “Red Team은 해커 입장에서 공격을 진행해 기업의 보안 상태를 점검할 수 있는 보안전문가 그룹이다. 목표는 공격을 성공시켜 보안운영 환경에서 어떤 점이 부족한지 알 수 있게 해주고 이를 개선할 수 있도록 해주는 것”이라며 “우리는 15년 이상 전 세계 고객을 대상으로 Red Team 평가를 수행해 왔다. 그 동안 고객의 보안 상태를 개선하는데 도움이 되는 각종 스크립트, 도구, 스캐너 및 기술을 구축해 왔다. 그런데 이번에 불행히도 이러한 도구들이 고도로 정교한 공격자에 의해 도난당하고 말았다”고 밝혔다.

이어 “해커들이 이번에 탈취한 파이어아이 도구들을 사용해 자체 도구 키트를 만들어 전 세계에 새로운 공격을 가하는 데 유용 할 수 있어 각별히 주의해야 한다”고 경고했다.

한편 이번 파이어아이 해킹을 조사한 FBI는 러시아 정부 후원을 받고 있는 러시아 해커들의 소행으로 보인다고 추측하고 있다.

이번 공격자들은 파이어아이 레드팀이 사용하는 해킹툴을 타깃으로 정교한 공격을 진행해 결국 탈취해 나간 것이다. 만약 이런 도구들이 현실에 사용된다면 심각한 공격들이 발생할 수 있어 상당히 위험한 상황이다.

미국은 이번 해킹이 2016년 ShadowBrokers 그룹에 의해 발생한 국가안보국 해킹사건 이후 가장 심각한 해킹사건으로 보고 있을 정도다.

파이어아이 캐빈 멘디아는 “이번 공격은 매우 정교했으며 엄청나게 긴 시간을 유지하며 공격을 진행한 것이다. 이전에 볼 수 없었던 공격 형태다. 25년간 사이버 보안 및 사고 대응을 바탕으로 조사한 결과, 특정 정부가 후원하는 최고 수준의 공격 능력을 가진 공격자들이란 결론을 내렸다”고 전했다.

한편 파이어아이는 이번 도난 사고의 피해를 최소화하기 위해 대책을 세우고 있다.

이번에 도난당한 도구들은 자동정찰에 사용하는 간단한 스크립트부터 CobaltStrike 및 Metasploit과 같이 공개적으로 사용 가능한 기술과 유사한 전체 프레임 워크에 이르기까지 다양하다.

또 많은 레드팀 도구가 이미 커뮤니티에 공개되었으며 오픈소스 가상머신 인 CommandoVM에 배포되어 있다. 또 여러 도구들과 프레임 워크는 레드팀 내부에서 개발된 것도 있다. 하지만 다행히 공격자가 훔친 도구에는 제로데이 공격이 포함되진 안았다.

파이어아이는 이번 도구들이 공격자의 전반적인 능력을 크게 향상시킬 것이라고 생각하지는 않지만 악용될 시나리오를 예방하기 위해 최선을 다하고 있다고 전하고, 커뮤니티가 이러한 도구를 감지 할 수 있도록 권한을 부여하기 위해 준비하고 있다. 이번 도난 당한 도구들이 실전에 사용되는지 식별하고 모니터링 할 수 있도록 하겠다고 밝혔다.

이어 레드팀 도구 도난에 대응하기 위해 OpenIOC, Yara, Snort 및 ClamAV와 같은 공개적으로 사용 가능한 기술에 대한 수백 가지 대응책을 발표했으며 대응책 목록은 FireEye GitHub 저장소에서 확인할 수 있다. 한국 기업들도 각별히 주의해야 한다.

한편 파이어아이와 같이 보안 기업이 해킹의 타깃이 된 것은 이번이 처음이 아니다. 시만텍, 트렌드마이크로, 카스퍼스키, RSA 및 Bit9, 어베스트 등을 포함한 많은 보안 회사가 수년 동안 성공적으로 침해 당했다. 한국 보안기업들도 마찬가지다.

그럼에도 불구하고 파이어아이의 빠른 탐지와 공개는 눈 여겨 볼 만한 부분이다.

★정보보안 대표 미디어 데일리시큐!★