러 정부 해커집단 소행 파악… 백악관, NSC 개최

러시아 정부기관 소속 해커들이 코로나19 백신 연구자료 등을 몰래 빼내기 위해 미국 재무부와 상무부 산하 기관, 대형 사이버 보안업체의 내부 이메일을 해킹해온 것으로 드러났다.

13일(현지시간) 워싱턴포스트(WP) 등에 따르면 해킹 대상이 된 기관은 재무부와 상무부 산하의 통신정보관리청(NTIA), 민간 사이버보안업체 파이어아이이(FireEye)다. NTIA는 대통령에게 인터넷과 통신 관련 정책에 관해 자문하는 기구이고, 파이어아이는 미국과 동맹국 내 다수 정부 기관, 제조업체, 금융기관, 기술기업 등을 고객으로 두고 있다. 파이어아이는 현재 미 연방수사국(FBI), 마이크로소프트(MS) 등과 함께 해킹을 조사 중이며 고객사들을 보호하기 위한 대응조치도 마련해놓았다고 밝혔다. 케빈 맨디아 파이어아이 최고경영자(CEO)는 “최상위급 공격역량을 지닌 국가의 공격이라고 결론지었다”라면서 “이번 해킹은 그간 우리가 겪어온 수만 건의 사건과 다르다”라고 전했다.

FBI는 해킹과 관련해 러시아 해외정보기관인 대외정보국(SVR)에 소속된 해커집단을 조사 중이다. 맷 고럼 FBI 사이버팀 부국장은 “초기 수사 결과 해킹 주체는 국가급 정교함을 지닌 것으로 보인다”라고 전했다. 이 집단은 ‘APT29’ 또는 ‘코지 베어’로 알려졌다. 이들은 미국뿐 아니라 다른 나라 정부 기관을 겨냥해 수개월째 광범위한 첩보 활동을 벌여왔다고 WP는 전했다. APT29는 앞서 8일 파이어아이를 해킹하고 서방의 코로나19 백신 연구자료를 탈취하려 한 것으로 알려졌다. WP는 수개월에 걸쳐 발생한 이번 사건은 2014~2015년 발생한 것과 같이 장기적인 준비 작업을 거쳤을 것으로 보인다며 APT29는 버락 오바마 행정부 때 국무부와 백악관을 해킹한 바 있다고 전했다.

로이터통신은 이번 해킹이 심각한 수준이어서 12일 백악관에서 긴급 국가안보회의(NSC)가 열렸다고 전했다. 존 울리엇 NSC 대변인은 “미 정부는 이 상황과 관련해 가능성 있는 어떤 문제도 확인하고 바로잡기 위해 필요한 모든 조처를 하고 있다”고 말했다. 해커들이 다른 정부기관을 침입하기 위해 유사한 수단을 사용했다는 우려가 있지만 다른 기관이 어디인지는 알려지지 않았다고 로이터는 전했다. 해킹은 NTIA의 사무용 소프트웨어인 ‘마이크로 오피스 365’와 관련이 있으며, 이를 사용하는 직원의 이메일이 수개월 간 해커의 감시를 받은 것으로 전해졌다.

정부기관 보안 침입은 ‘솔라윈즈’라는 네트워크 관리업체를 통해 이뤄진 것으로 알려졌다. 한 관계자는 해커들이 MS의 인증 제어 장치를 속였으며 수법이 매우 고도화돼 있다고 말했다. 로이터는 해킹의 전체 범위는 아직 명확하지 않고, 광범위한 연방정부 기관이 포함된 초기 단계 조사가 진행 중이라고 전했다.

이번 해킹 사실은 파이어아이가 미국 증권거래위원회(SEC)에 제출한 보고서를 통해 밝혀졌다. 파이어아이는 고객사의 보안 상태를 점검하기 위해 내부적으로 구비해둔 해킹 도구들이 도난당했다고 밝혔다. 해킹 이후 이 도구들이 사용된 증거는 아직 발견되지 않았다.

김규환 선임기자 khkim@seoul.co.kr