백악관 국가안보회의 열려…"파이어아이 해킹도 이들 소행"
군·정보기관에도 서비스하는 솔라윈즈 소프트웨어에 악성코드 공격 추정
러시아 정부기관 소속 해커들이 미국 재무부와 상무부 산하 기관의 내부 이메일을 해킹해온 것으로 파악됐다고 워싱턴포스트(WP)가 익명의 관계자들을 인용해 13일 보도했다.
해킹 대상이 된 기관은 재무부와 상무부 산하의 통신정보관리청(NTIA)으로 알려졌다. NTIA는 대통령에게 인터넷과 통신 관련 정책에 관해 자문하는 기구다.
미 연방수사국(FBI)은 해킹과 관련해 러시아 해외정보기관인 대외정보국(SVR)에 소속된 해커집단을 조사 중이다. 이 집단은 APT29 혹은 코지 베어로 알려졌다.
이들은 미국뿐 아니라 다른 나라 정부 기관을 겨냥해 수개월째 광범위한 첩보 활동을 벌여왔다고 한 소식통은 WP에 설명했다.
APT29는 앞서 미국의 대형 보안업체 파이어아이를 해킹하고 서방국의 신종 코로나바이러스 감염증(코로나19) 백신 연구자료를 탈취하려 한 것으로 알려졌다.
이들은 오바마 정부 당시 국무부와 백악관을 해킹한 적도 있다.
로이터는 이번 해킹이 심각한 수준이어서 전날 백악관에서 국가안보회의(NSC)가 열렸다고 전했다.
존 울리엇 NSC 대변인은 "미국 정부는 이 상황과 관련해 가능성 있는 어떤 문제도 확인하고 바로잡기 위해 필요한 모든 조처를 하고 있다"고 말했다.
로이터는 해커들이 다른 정부기관을 침입하기 위해 유사한 수단을 사용했다는 우려가 있지만 다른 기관이 어디인지는 알려지지 않았다고 소식통을 인용해 전했다.
해킹은 NTIA의 사무용 소프트웨어인 '마이크로 오피스 365'와 관련이 있으며, 이를 사용하는 직원의 이메일이 수개월 간 해커의 감시를 받은 것으로 알려졌다.
이번 정부기관 보안 침입은 '솔라윈즈'라는 네트워크 관리업체를 통해 이뤄졌다고 익명의 소식통들이 WP에 전했다.
이와 관련, 솔라윈즈는 올해 3~6월 사이에 배포한 '모니터링 소프트웨어'의 업데이트 버전이 특정 국가의 매우 정교하고 표적화된 공격(해킹)에 의해 조작됐을 수 있다고 밝혔다.
로이터통신은 미 재무부 등을 공격한 해커가 솔라윈즈의 모니터링 소프트웨어를 해킹한 것으로 보인다면서 이 같은 수법은 합법적인 소프트웨어 업데이트 버전에 악성코드를 심는 '서플라이 체인 공격'으로 불린다고 설명했다.
솔라윈즈는 미군과 정보기관 등 광범위한 미 정부기관을 대상으로 서비스한다는 점에서 우려를 키우고 있다.
솔라윈즈가 홈페이지를 통해 밝힌 고객 명단에는 미 대통령실과 국가안보국(NSA), 미군(육군· 해군·공군· 해병대·해안경비대), 국무부와 '포천 500'에 포함되는 상당수 기업, 미 상위 10개 통신사 등이 제시돼있다.
한 관계자는 해커들이 마이크로소프트의 인증 제어 장치를 속였으며 수법이 매우 고도화돼 있다고 말했다.
로이터는 해킹의 전체 범위는 아직 명확하지 않고 광범위한 연방정부 기관이 포함된 초기 단계 조사가 진행 중이라고 보도했다.
그러나 러시아 외교부는 페이스북에 올린 글을 통해 자신들을 해킹 세력으로 지목한 보도는 근거가 없다고 주장했다고 로이터는 전했다.
<연합뉴스>
