글로벌 보안업체 파이어아이가 솔라윈즈 백도어를 막을 '킬스위치(비상 정지 기능)'를 발견했다. 백도어에 의한 정보유출 등 피해 확산을 일부 예방할 것으로 기대된다.
파이어아이 대변인은 16일(현지시간) “파이어아이가 '선버스트' 작동을 막을 킬스위치를 식별했다”면서 “솔라윈즈 공급망 공격으로부터 조직을 보호하기 위한 조치”라고 설명했다.
파이어아이는 선버스트 분석을 통해 추가 작동을 방지할 킬스위치를 확인했다. 선버스트 멀웨어가 일부 명령제어(C2) 서버를 인터넷프로토콜(IP) 주소로 변환(resolve)하는 과정에서 특정 조건에 처하면 자체 파괴돼 추가 실행이 막힌다는 사실을 포착했다.
킬스위치 실행에 따라 솔라윈즈 사태가 가라앉을지는 미지수다.
파이어아이 대변인은 “이번 킬스위치는 선버스트 특정 C2 서버와 통신하는 기기에 대한 기존 또는 추가 감염을 막을 수는 있지만 공격자가 빠르게 움직이는 상황”이라면서 “공격자는 감염시킨 네트워크에 지속 접근하기 위해 선버스트 백도어 외에 다른 장치를 설치한 것으로 목격됐다”고 경고했다.
킬스위치 실행을 통해 피해 확산을 어느 정도 막을 순 있지만 공격자가 침해한 네트워크를 대상으로 이미 다른 구멍을 뚫어놓았을 가능성이 크다는 지적이다.
파이어아이 대변인은 “킬스위치는 선버스트 외에 다른 백도어가 설치된 네트워크 상에서 공격자를 제거하진 않는다”면서 “이번 킬스위치는 공격자가 이미 유포된 선버스트 백도어를 활용하는 것을 어렵게 만드는 데 의미가 있다”고 했다.
파이어아이는 선버스트 감염을 차단하기 위해 미국 웹호스팅 업체 고대디, 마이크로소프트(MS)와 공조했다.
선버스트는 세계 1위 네트워크 관리 소프트웨어(SW) 솔라윈즈 일부 버전을 통해 유포된 백도어다. 미국 국토안보부(DHS) 산하 사이버·인프라안보국(CISA)은 지난 13일(현지시간) 솔라윈즈에 관한 긴급 보안 지침을 발령하면서 솔라윈즈를 실행하는 모든 컴퓨터를 즉시 비활성화하거나 전원을 차단하라고 지시했다.
솔라윈즈 SW가 워낙 광범위하게 도입된 만큼 국내 여파도 상당하다.
한국인터넷진흥원(KISA)은 솔라윈즈 국내 총판사 두 곳과 협력해 현황 파악에 나섰다. KISA는 솔라윈즈 오리온 플랫폼 보안 주의 권고를 통해 “영향 받는 제품을 이용 중인 기업과 기관 담당자는 보안 점검을 수행하고 침해사고 확인 시 신고하라”고 권고했다.
최신 버전 업데이트가 어려운 경우 △솔라윈즈 서버 격리 △솔라윈즈 서버와 연결된 중요 엔드포인트 연결 제한 △솔라윈즈 서버 로컬 관리자 권한을 가진 계정에 대한 범위 제한 △솔라윈즈 서버 관리 계정 암호 변경 △의도되지 않거나 허가되지 않은 권한 변경에 대한 지속 모니터링 수행 등이 필요하다고 공지했다.
솔라윈즈 제품은 세계 30만개 기업과 기관이 쓴다. 이 가운데 1만8000개 고객사가 솔라윈즈 SW 업데이트에 의해 백도어가 설치된 것으로 전해졌다. 솔라윈즈 측은 백도어 사태가 불거진 뒤 주요 고객사 명단을 비공개로 전환했다. 국내는 대기업 중심으로 솔라윈즈 SW가 다량 공급된 것으로 파악됐다.
오다인기자 ohdain@etnews.com
