침해사고/위협동향

美 IT 보안관리 업체 카세야 랜섬웨어 공격··· 글로벌 단위 피해

이종현

[디지털데일리 이종현기자] 미국 정보기술(IT) 관리용 솔루션 기업 ‘카세야(Kaseya)’의 플랫폼 ‘VSA’가 랜섬웨어 유포 경로로 악용됐다. 글로벌 단위의 광범위한 피해가 발생할 것으로 추정된다.

3일(현지시각) AP통신 및 월스트리트저널(WSJ) 등 외신에 따르면 카세야의 IT 관리용 플랫폼 VSA를 통해 다수 미국 기업의 시스템이 랜섬웨어에 노출됐다.

이는 공급망 공격(Supply-Chain Attack)의 일환으로, 지난 연말 발생한 네트워크 관리 소프트웨어(SW) 기업 ‘솔라윈즈(SolarWinds)를 노린 공격과 유사하다. SW 유포처인 카세야를 해킹함으로써 이를 이용하는 기업·기관까지 한 번에 노릴 수 있다.

카세야는 성명을 통해 “빠른 대응을 통해 매우 적은 수의 온프레미스 고객이 피해를 입었다”며 “모든 온프레미스 VSA 서버는 추가 지침이 있기 전까지는 계속 오프라인 상태를 유지해야 한다. VSA를 다시 시작 하기 전 패치를 설치해야 한다”고 밝혔다.

미국 사이버안보·기간시설·안보국(CISA) 역시 대응에 나섰다. CISA는 카세야의 지침이 있기 전까지는 VSA 서버를 종료하도록 권고했다.

보안기업 ESET은 이번 공격으로 미국을 비롯해 영국, 남아프리카 공화국, 캐나다, 아르헨티나, 멕시코, 케냐, 독일 등 최소 17개국의 피해자가 발생했다고 추정 중이다. 스웨덴 공영 방송 SVT는 식료품 체인 Coop의 매장 800여개가 해당 공격의 영향을 받아 문을 열지 못했다고 보도했다. 스웨덴 국영 철도, 주요 지역 약국 체인도 영향을 받은 것으로 알려졌다.

이번 공격은 미국 독립기념일(7월4일)을 하루 앞두고 발생했다. AP통신 등 외신은 미국 200개 기업의 전산망이 랜섬웨어 공격을 받고 마비됐다고 보도했는데, 피해 규모는 점차 늘어날 것으로 보인다.

공격자로 이름을 올리는 것은 러시아 정부의 지원을 받는 것으로 알려진 레빌(REvil)이다. 소디노키비(Sodinokibi)라는 이름으로도 활동하는 레빌은 지난 5월 육류 가공 업체 JBS에 대한 공격 배후로도 지목된 바 있다.

조 바이든 미국 대통령은 “누가 공격자인지 확실하지는 않다”며 러시아에 책임이 있다고 판단되면 그에 맞는 대응에 나서겠다고 전했다.

한편 카세야는 2010년 한국지사를 설립했다가 2014년 철수한 바 있다. 한국인터넷진흥원(KISA)은 카세야의 보안 위협에 대해 유관기관에 긴급전파했다. 국내 기업·기관의 피해가 없는지 모니터링 중이다. 알려진 국내 피해 사례는 없는 상태다.

이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널