이미지 확대보기
스톡홀름에 본사를 둔 보안회사 트루섹의 설립자인 마커스 머레이는 스웨덴에서 여러 명의 피해자를 조사한 결과 해커들이 취약한 시스템을 표적으로 삼았다고 말했다. 해커들은 마이애미에 기반을 둔 카세야의 코드에서 이전에 알려지지 않은 취약점을 발견해 랜섬웨어를 사용했고, 인터넷에 연결되어 있는 서버로 이를 이동시켰다는 것이다.
연구소는 카세야가 취약점 수정 작업에 적극적이었으나 마지막 스프린트에서 이번 해킹을 저지른 집단인 레빌에게 밀렸다면서, 카세야의 고객들이 취약점을 패치하기 전에 레빌이 랜섬웨어 공격을 시작했다고 설명했다.
카세야 대변인은 최근의 사이버 공격에 대한 논평에 응하지 않았다. 앞서 회사 측은 자사 VSA 제품이 '사이버 공격'의 피해를 입었다며 FBI에 통보했다고 밝힌 바 있다. 카세야는 이번 공격으로 피해를 입은 고객 수가 40명 미만이며 클라우드 기반 서비스에는 영향이 없다고 덧붙였다. 미국 사이버보안국도 해커 집단이 카세야 VSA 소프트웨어의 취약성을 활용해 서버를 공격했다고 확인했다.
카세야의 고객에는 중소기업을 위한 원격 IT 지원 및 사이버 보안 서비스를 제공하는 회사도 포함돼 있다. 기업 회원들이 다수여서 추가 피해도 우려된다.
피해자 중 한 곳인 스웨덴 식료품 체인 쿠프는 3일 800개 이상의 상점 대부분이 공격을 받아 결제 단말기가 폐쇄돼 상점 문을 열 수 없었다고 말했다. 다른 기업에 IT 서비스를 제공하는 관리형 서비스 공급업체의 감염이 많아 고객에게까지 확산되었을 수 있다.
머레이는 "범죄적 관점에서 볼 때 이번 랜섬웨어 공격은 공급망을 목표로 했다는 점에서 주목된다“고 지적했다. "시스템 암호화뿐 아니라 복구 툴 적용도 불가능하게 만들고 있다"며 심각한 공격의 유해성을 우려했다.
사이버 보안 회사인 소포스의 부사장이자 최고정보보안책임자인 로스 맥커차르는 ”이번 해킹은 소포스가 지금까지 본 것 중 가장 광범위한 범죄 랜섬웨어 공격 중 하나“라고 말했다. 그는 "이 시점에서 70개 이상의 관리형 서비스 제공업체들이 영향을 받았으며 350개 이상의 조직이 피해를 입었다. 피해는 보안 회사에 보고된 것보다 더 광범위하고 많을 것으로 예상된다”고 덧붙였다. 현재까지 영국, 남아프리카공화국, 캐나다, 아르헨티나, 멕시코, 스페인을 포함한 17개국에서 피해가 발생했다고 한다.
조민성 글로벌이코노믹 기자 mscho@g-enews.com
