당시 기업 파일전송시스템 제로데이 취약점 공격, 많은 기업 ‘초토화’
기업들 “최근 다시 준동 기미, 긴장”, 일부 기업 “원천 방어 불가능” 체념도
[애플경제 전윤미 기자] 6개월 전에 국내에서도 문제가 되었던 MOVEit 취약점을 노린 사이버 공격반이 여전히 창궐하고 있다는 소식이다. 당시 국내에 IT업계는 이에 대한 나름의 방어책을 마련하고 대응했지만 여전히 2023년도의 가장 큰 사이버보안 위해 요인이 되고 있다는 지적이다.
IT 전문가, 기업 경영진들 여전히 ‘노심초사’
특히 사이버 보안 기업인 센서스와이드(Censuswide)는 “MOVEit 침해 사건이 발생한 지 6개월이 지나도록 비즈니스 리더들이 밤잠을 못 이루고 있다”고 할 정도다. 여전히 IT기업을 비롯한 기업 경영진들과 책임자들은 유사한 공격으로부터 회사를 보호하기 위해 과감한 조치를 취하는 등 긴장의 끈을 놓지 않고 있다.
이에 따르면 기업용 파일 전송 프로그램인 MOVEit이 제도데이 취약점을 이용한 수법은 여전히 유효하다는 지적이다. 실제로 센서스와이드는 자체 설문조사를 바탕으로 “응답자의 90%는 MOVEit 침해로 인해 랜섬웨어 공격에 대한 우려가 증가하고 있다”고 밝혔다.
또 조사 대상의 4분의 1에 달하는 리더들이 침해 사건으로 인해 불안감이 크게 높아졌다고 했다. 3분의 2는 “잠재적으로 재앙이 될 수 있을 것”이라며 향후 공격 가능성을 크게 우려하고 있다.
이에 응답 기업의 42%가는 이에 대비, 백업과 복구에 투자했다고 밝혔다. 또 그와 비슷한 숫자의 기업은 사이버 보안에 대한 지출을 늘렸고, 전체 1/3의 기업들은 아예 사이버 보험에 가입한 것으로 나타났다.
특히 기업 경영진의 절반 가량은 “랜섬웨어 공격을 불가피한 것으로, 두 번 이상의 공격을 받을 가능성이 매우 높다”고 믿고 있다.
이에 대해 IT프로포탈은 “고위 IT 전문가들 간에는 이러한 두려움이 ‘운명론’으로 바뀌고 있다”고 할 정도로 사태를 심각하게 보고 있다. 심지어는 센서스와이드 조사 대상 기업의 절반은 “수시로 공격 빈도를 높이고, 수법이 정교해지는 랜섬웨어를 원천적으로 막아내는 것은 불가능하다”고 보고 있다.
지금까지 2600개 기업, 7720만명 피해
앞서 있은 MOVEit 사태는 기업용 파일 전송 소프트웨어인 MOVEit의 제로데이 취약점을 악용한 Cl0p 랜섬웨어 그룹에 의해 가해진 일련의 사이버 공격과 데이터 침해였다. 당시 전 세계적으로 수천 개의 기업들을 대상으로 한 MOVEit 침해 사고는 BBC, 브리티쉬 에어웨어, 아엘 링구스, 부츠 등 글로벌 대기업들에서 잇따라 일어났다.
공격자는 SQL 주입을 통해 MOVEit ‘Transfer 웹 애플리케이션’에 대한 초기 액세스 권한을 탈취하는 수법을 썼다.
또다른 보안업체인 ‘Emsisoft’ 조사에 따르면 현재까지 2,600개 이상의 기업이나 단체, 기관이 사이버 공격을 당했고, 피해 당사자만 7,720만 명에 달한다. 사이버 위협 인텔리전스 분석가인 크리스 모건 같은 전문가들은 “이는 그 심각성과 규모를 고려할 때 놀랄 일이 아니다”라고 IT프로포탈에 밝힐 정도다.
모건은 “Clop의 수법은 앞으로 IT 및 보안 실무자들이 극복해야 할 최우선 과제가 되어야 할 것”이라고 지적했다.
즉이에 따르면 ‘Cl0p’는 클리어 웹과 토렌트를 통해 데이터를 유출하는 방향으로 전환하면서 누구나 특별한 다크 웹 소프트웨어 없이도 데이터에 더 쉽게 접근할 수 있게 한다. 이로 인해 손상된 개체에 대한 악용이나 공격이 가중되곤 한다.
SQL주입, MOVEit ‘Transfer 웹 앱’ 초기 액세스 권한 탈취
이는 “또한 일반 웹에서는 데이터를 호스팅하기가 더 쉽고 다운로드도 더 빠르기 때문에 도난당한 데이터가 다운로드될 가능성이 더 높다.”면서 “이러한 전술 중 일부는 새로운 것은 아니지만 그 수법과 침해 규모는 특히 우려할 만 한 것”이라는 얘기다.
또 다른 보안 컨설턴트인 필 로빈슨도 모건과 의견을 같이 했다. 특히 그는 “MOVEit 데이터 침해 사고로 얻을 수 있는 핵심 교훈은 공급망 전반에 걸쳐 기업에 엄청난 규모의 대학살이 가해졌다는 점”이라고 IT프로에 밝혔다.
그에 따르면 “(기업 보안 책임자들은)‘Clop’이 지난 2월 ‘GoAnywhere MFT’에 대한 공격을 가한 후, 다시 그런 공격을 못하도록 대책을 강구하고 있다”면서 “특히 FTP가 공급망에 침투,여 자금을 갈취할 만한 대상자가 빠르게 증가하고 있어, FTP를 추적하고 있는 경우가 많다”고 최근의 분위기를 전했다.