글로벌 가상화 소프트웨어(SW) 기업 시트릭스(Citrix)가 해킹 당했다. 6테라바이트(TB) 이상 고객정보가 유출된 것으로 추정된다.
포브스, 더레지스터 등 외신에 따르면 미국연방수사국(FBI)은 시트릭스 내부망 접근권한 탈취 가능성을 제기하고 수사에 나섰다고 보도했다. 사이버 범죄조직이 지난해 12월과 3월 4일 시트릭스를 공격한 것으로 보인다.
미국 보안업체 리시큐리티(Resecurity)는 시트릭스 내부에 보관됐던 민감정보 총 6TB 이상이 유출된 것으로 분석했다. 유출된 정보는 고객과 주고받은 이메일, 네트워크상에 공유된 파일, 프로젝트 관련 데이터 등이다. 이 회사는 공격이 크리스마스 기간에 기획됐으며, 이미 지난해 말 시트릭스에 이를 경고했다고 밝혔다.
리시큐리티에 따르면 이번 공격은 '이리듐(Iridium)'이라는 이란 정부 지원 해킹조직 소행이다. 지난해 말 호주 의회를 노린 공격을 포함해 200여 기관·기업에 침해를 가한 배후로 지목된다. 이 조직은 이중인증체계를 우회하는 독자 기술을 갖췄다. 시트릭스가 제공하는 가상화 솔루션에 대해 추가로 무단 접근했을 가능성도 제기된다.
시트릭스는 포츈 500대 기업 중 98%를 포함해 세계 40만개사에 가상사설망(VPN), 싱글사인온(SSO), 원격지원 등 가상화 솔루션을 공급하는 회사다. 표적형 공급망 공격 특성상 추가 피해가 우려된다. 포브스는 시트릭스 제품 소스코드나 버그 관련 정보가 탈취됐을 가능성에 대해서도 우려를 표명했다.
김승주 고려대 정보보호대학원 교수는 “만약 제품 소스코드 유출로까지 이어진다면 공격자가 새 취약점을 발굴해 악영향을 끼칠 수 있다”면서 “최근 가상화 솔루션이 광범위하게 쓰이므로 고객사가 즉각 사용을 멈추기는 힘들 것이다. 일단 시트릭스 제품에 대해 외부 인터넷과 접점을 최소화시킬 것을 권한다”고 말했다.
FBI는 이번 공격에서 사이버범죄자가 비밀번호 스프레잉(Password Spraying) 기법을 써서 침투를 시도했을 가능성이 높은 것으로 분석했다. 취약한 비밀번호를 악용해 내부 거점을 마련한 뒤, 보안 계층을 회피하며 내부 시스템 침투를 꾀했다는 것이다.
스탠 블랙 시트릭스 최고보안·정보책임자(CSIO)는 기업 블로그를 통해 “해커가 비즈니스 문서에 접근했을 수 있으나, 구체적으로 어떤 문서에 접근했는지는 아직 알려지지 않았다. 시트릭스 제품·서비스 보안이 침해된 조짐은 없었다”며 “이번 사고가 고객에 끼칠 영향을 두고 깊이 후회한다. 선도적 정보보안기업을 고용해 포렌식 조사를 시작했고, FBI와 지속 협력 중”이라고 밝혔다.
팽동현기자 paing@etnews.com
▶ "굿바이 터치, 헬로 폴더블 - HCI & UI/UX Summit 2019" 개최 (3월 15일)
▶ 네이버 모바일에서 [전자신문] 채널 구독하기
▶ 전자신문 바로가기 [Copyright ⓒ 전자신문 & 전자신문인터넷, 무단전재 및 재배포 금지]
