해커들의 공격 대상이 개별 기업에서 클라우드 등 인프라 서비스를 제공하는 업체로 옮겨가고 있다. 한 번의 공격으로 대규모 피해가 발행할 수 있다는 우려가 높아진다.
미국 마이애미에 본사를 둔 IT 서비스 기업 카세야(Kaseya)가 해커들의 랜섬웨어 공격을 받아 수백개의 기업이 서비스 장애를 겪었다고 AP통신 등 외신들이 3일(현지시간) 보도했다. 카세야는 원격 모니터링 및 관리 소프트웨어 VSA를 제공하는 업체다. 해커들은 VSA를 공격해 이 서비스를 이용하는 200개 이상의 고객사 컴퓨터를 감염시킨 것으로 확인했으며, 수천개 이상 기업이 피해를 입었을 수 있다고 보안업체 헌트레스가 분석했다. 랜섬웨어란 해커가 컴퓨터에 침투해 주요 파일에 암호를 걸어 잠근 뒤 비밀번호를 알려주는 대가로 금품을 요구하는 것이다.
이번 해킹으로 미국 기업 뿐만 아니라 전 세계로 확산이 우려된다. 로이터통신에 따르면 스웨덴 유통기업 쿱(Coop)은 전체 800개 매장의 문을 닫았다. 쿱은 카세야의 VSA를 사용하고 있는데, 랜섬웨어 침투로 매장에서 계산을 정상적으로 할 수 없게 됐기 때문이다. 이밖에도 스웨덴 철도, 약국 등 카세야의 VSA를 사용하는 곳도 서비스가 일부 중단됐다.
국내에는 아직 피해 사례가 보고되지 않은 것으로 나타났다. 한국인터넷진흥원(KISA)는 4일 “VSA 제품이 랜섬웨어 유포 경로로 악용된 정황이 있어 긴급 보안공지하고 유관기관에 긴급 전파했다”면서 “아직 국내 피해는 신고된 사례가 없으며, 관련 사항을 집중 모니터하고 있다”고 밝혔다. KISA는 카세야의 공지가 있을 때까지 VSA 사용을 중단하라고 권고했다.
기업과 개인 모두 클라우드 서비스 사용이 증가하면서 보안에 대한 우려도 커지고 있다. 이번 사건처럼 클라우드를 기반으로 하는 서비스가 해커의 공격으로 감염되면 피해가 기하급수적으로 늘어날 수 있기 때문이다. 특히 이번 공격은 주말을 앞둔 금요일 오후에 이뤄졌다. 보안사고가 일어나도 대응이 늦어질 것이라는 빈틈을 노린 것이다.
올해 5월 말 세계 최대 정육업체 중 한 곳인 JBA SA가 랜섬웨어 공격에 노출됐고, 미국 송유관 기업 콜로니얼 파이프라인도 랜섬웨어 공격을 받아 한동안 동남부 지역에서 유류 공급에 차질이 빚어지기도 했다. 지난해 12월에는 소프트웨어 업체 액셀리온이 해킹 공격을 당해 뉴질랜드 중앙은행, 싱가포르 통신업체 싱텔, 미국 법률회사 존스 데이 등이 피해를 입기도 했다.
미국 정부는 이번 랜섬웨어 공격의 배후로 러시아와 연계된 해킹그룹 레빌(REvil)를 의심하고 있다. 조 바이든 미국 대통령은 사건 배후 조사를 지시했다. 바이든 대통령은 “러시아 정부가 배후에 있다고 생각하지 않았지만 아직 확실하진 않다”면서 “정보기관에 조사를 지시했으며 러시아가 책임이 있다고 판단되면 대응할 것”이라고 말했다.
김준엽 기자 snoopy@kmib.co.kr