[종합] 미국, 랜섬웨어 공격에 에너지·식품 이어 IT공급망도 뚫렸다

IT·보안관리 서비스 업체 카세야 표적 삼아
수천 개 기업 영향 가능성…"엄청난 규모의 공급망 공격"
스웨덴 슈퍼마켓 체인, 매장 800여 곳 문 닫아
배후엔 JBS 공격 주체 '레빌' 거론

▲한 남성이 느낌표가 있는 파란색 스크린에 투영된 노트북을 들고 있다. 로이터연합뉴스

러시아와 연계된 것으로 보이는 해커집단이 글로벌 주요 IT 공급망 중 하나인 미국의 IT·보안관리 서비스 업체 카세야의 네트워크 플랫폼에 랜섬웨어 공격을 가했다.

3일(현지시간) 월스트리트저널(WSJ)에 따르면 카세야는 이날 오후 자사의 가상 시스템 자동화 관리 솔루션 ‘VSA’에 대한 잠재적 공격 가능성을 인지한 뒤 예방을 위해 서버를 종료하는 한편 고객사들에 이러한 사실을 통보해 실행 중인 소프트웨어를 즉시 닫을 것을 촉구했다.

이번 공격의 희생양이 된 것은 VSA의 ‘온프레미스(On-premises·소프트웨어를 서버에 직접 설치해 쓰는 방식)’판이며, 카세야는 만약을 위해 서비스형 소프트웨어(SaaS·인터넷을 기반으로 모둘 별 솔루션을 빌려 서비스를 사용하는 방식) 서버도 닫아놓은 것으로 알려졌다. 카세야는 이번 랜섬웨어 공격의 피해가 온라인 서비스 이용자보다는 자사 서버에서 소프트웨어를 운영하는 고객사들에 집중됐다고 밝혔다.

카세야는 직접적 영향을 받은 고객사 규모가 전체 3만6000여 개 중 40곳 미만이라고 설명했다. 하지만 보안 전문가들은 이번 랜섬웨어 공격의 영향을 받는 회사의 규모가 훨씬 더 클 것으로 보고 있다. 영향을 받은 업체 대부분이 또 다른 고객들에 보안 관리를 제공하는 IT 회사들이기 때문이다. 이번 사건으로 피해를 본 40개 고객사 중에서 30개 이상이 서비스 공급업체이며, 이들 업체는 잠재적으로 타격을 입을 수 있는 더 많은 고객을 보유하고 있다고 WSJ는 전했다.

실제로 보안업체 헌트레스랩스는 “약 1000곳이 이미 해킹의 영향을 받고 있다”며 “그 숫자가 수천 개로 더 늘어날 가능성이 있다”고 내다봤다. 카세야가 전 세계 중소기업에서 대기업에 이르기까지 폭넓은 고객사를 거느리는 만큼 엄청난 규모의 공급망 공격’이 될 수 있다는 평가다.

대표적으로 피해를 본 고객사로는 스웨덴의 메이저 슈퍼마켓 체인 ‘쿱 스웨덴’이 꼽힌다. 이 업체는 결제 시스템에 문제가 생기면서 매장 800여 곳이 임시로 문을 닫게 됐다. 쿱 스웨덴은 이날 카세야를 별도로 거론하지 않은 채 “우리 하도급 업체 가운데 한 곳이 디지털 공격의 대상이 되면서 결제 시스템이 작동하지 않게 됐다”고 밝혔다.

미국을 겨냥한 치명적인 사이버 공격은 올 들어 이번이 세 번째다. 에너지·식품에 이어 이번에는 IT에 이르기까지 경제에서 핵심적인 역할을 담당하는 기업들이 표적이 됐다. 5월 미국 최대 송유관을 운영하는 콜로니얼파이프라인과 세계 최대 육류업체 JBS가 사이버 공격으로 인해 피해를 봤다. 이번에는 IT 공급망까지 공격을 받으면서 해킹이 미국을 비롯한 세계 경제에 미칠 악영향에 대한 불안감이 최고조에 이르게 됐다.

업계 안팎에서는 이번 공격이 러시아와 연계된 범죄 조직 ‘레빌(REvil)’의 소행일 것으로 추정하고 있다. 레빌은 5월 말 JBS에 사이버 공격을 가했던 곳으로 알려진 해커 집단이기도 하다.

또다시 터진 사이버 공격에 미국 당국은 발 빠르게 움직이고 있다. 미국 사이버안보·기간시설안보국(CISA)은 성명에서 “해킹 상황을 면밀하게 모니터링하고 있다”며 “연방수사국(FBI)과 협력해 피해 사례에 대한 정보를 더 수집할 것”이라고 밝혔다. 이어 피해를 본 업체들을 향해 “카세야의 안내에 따라 서버를 종료해달라”고 당부했다.

조 바이든 미국 대통령은 이번 랜섬웨어 공격과 관련해 러시아와의 연관성은 현재 불분명하다면서도 정보 당국에 ‘철저한 조사’를 지시했다. 유세지인 미국 미시간주로 이동 중 바이든 대통령은 기자들과 만나 “정보당국에 철저한 분석을 주문했으며, 필요하다면 연방 정부의 모든 자원을 총동원하라고 지시했다”고 설명했다. 이어 “처음 드는 생각은 러시아 정부는 아니라는 것이지만, 아직 확실하지는 않다”고 덧붙였다. 이번 랜섬웨어 공격 사건은 바이든 대통령이 지난달 블라디미르 푸틴 러시아 대통령과의 정상회담에서 사이버 범죄 진압을 요구한 지 몇 주 만에 벌어졌다.