2015년 미국 국가안보국(NSA) 전직 직원이 기밀정보를 집으로 가져와 작업하다가 러시아 정부 지원을 받는 해커가 관련 내용을 빼돌린 사실이 최근에야 알려졌다.
문제는 이를 처음 보도한 월스트리트저널(WSJ)이 익명 소식통을 인용, 러시아 정부 소속 해커들이 NSA 전 직원 PC에 카스퍼스키랩 백신이 설치됐다는 사실을 확인한 뒤 이를 악용한 공격을 시도했다고 밝혔다는 점이다.
그 사이 미국 국토안보부는 9월13일 러시아 정부의 지원을 받는 해커들의 공격이 우려된다는 이유로 자국 내 정부 기관 네트워크에서 카스퍼스키랩 백신을 쓰지 못하도록 금지하는 법안을 상원에서 통과시켰다.
카스퍼스키랩이 수집한 취약점 정보가 러시아 내에 위치한 서버에 저장된다는 점을 이유로 러시아 정부가 이를 강압적으로 악용해 미국에 대한 공격을 시도할 수 있다는 우려가 커진 탓이다.
■ 유진 카스퍼스키 "연루설에 대한 어떤 증거도 없다"
이러한 조치의 연장선 상에서 불거진 NSA 전 직원 해킹 사건에 대한 연루설에 대해 카스퍼스키랩 설립자인 유진 카스퍼스키는 "(최근 WSJ 보도에서) 우리가 연루됐다는 어떤 증거도 제시되지 않았다"며 "확인되지 않은 주장을 다룬 뉴스가 계속해서 회사를 비난하게 하는 것은 불행한 일"이라고 지적했다.
워싱턴포스트에 따르면 문제를 일으킨 NSA 전 직원은 베트남 태생 미국 시민권자로 NSA 내 엘리트 해킹 부서인 '테일러드 액세스 오퍼레이션(Tailored Access Operations)' 소속이었다. 해당 팀은 해외 컴퓨터 네트워크에 침투해 정보를 수집하는 역할을 했다. 이 팀은 2013년 에드워드 스노든이 NSA가 국내외 도감청을 위해 사용한 해킹방법, 해킹툴 등에 대한 기밀문서를 유출시켜 공개한 뒤 이를 대체한 기술을 해킹툴 개발을 지원해왔다.
그가 해외 첩보기관에 NSA의 해킹툴에 대한 정보를 넘길 목적이었는지는 확인되지 않았다.
이 과정에서 유출된 정보에는 미국이 해외 컴퓨터 네트워크에 침투하는 방법, 첩보활동을 위한 컴퓨터 코드, 미국 내 네트워크를 보호하는 방법 등에 대한 내용이 담겨있었던 것으로 전해진다.
■ NSA 전 직원 해킹, 3가지 시나리오 보니
최근 밝혀진 2015년 NSA 전 직원 기밀 유출 사건에 대해 미국지디넷은 크게 3가지 시나리오를 제시했다.
첫번째로는 러시아 해커들이 카스퍼스키랩 제품의 취약점을 악용해 공격을 시도했을 가능성이다. WSJ 보도는 데이터 유출 과정에서 카스퍼스키랩이 협조했다고 명시하지 않았다. 때문에 카스퍼스키랩 제품이 러시아 해커들에게 해킹당했을 가능성을 예상해 볼 수 있다. 백신도 복잡한 소프트웨어인 만큼 여러 버그로부터 자유로울 수 없다. 카스퍼스키랩도 마찬가지로 자사 제품이 무력화되거나 이를 설치한 PC, 노트북 등 로컬 시스템이 해킹될 수 있는 버그들을 발견해 이에 대한 패치를 진행했다.
그러나 이 시나리오가 성립하려면 러시아 해커들이 사전에 NSA 전 직원이 자신의 PC에 카스퍼스키랩 제품을 설치해놓고 있었고, 어떤 부분이 취약한지, 어떻게 공격해야할지 등을 사전에 알고 있어야한다는 조건이 붙는다.
두번째 시나리오는 NSA 전 직원의 PC가 이미 악성코드에 감염된 상태였으나 이런 사실을 카스퍼스키랩이 탐지하고서도 제대로 알람을 주지 않았을 경우다. 카스퍼스키랩은 다른 주요 보안 기업들과 마찬가지로 NSA 해킹툴 유출 사건, 스턱스넷과 같은 악명 높은 멜웨어, NSA와 관계가 있었던 것으로 알려진 사이버 첩보 플랫폼인 이퀘이션 그룹, 이 그룹에서 취약점 정보를 훔쳐내 이를 판매하려고 시도했던 섀도 브로커스 그룹 등이 악용한 해킹툴에 대한 정보를 확보하고 있다. 이런 정보들은 모두 클라우드 상에 업로드돼 분석이 이뤄진다.
문제는 카스퍼스키랩이 보안 정보를 러시아 내 서버에 저장하고 있다는 점이다. 이를 근거로 러시아 정부가 강제로 카스퍼스키랩에 협조할 것을 강요했을 것이라는 가능성이 나온다.
이를 두고 유진 카스퍼스키는 "우리 회사는 러시아와 미국 사이 지정학적 분쟁의 한 가운데에 끼어있다"고 밝혔다. 두 나라 정부 간 문제에 자신의 회사가 휘말리고 있다는 주장이다.
세번째 시나리오는 카스퍼스키랩이 러시아 정부를 위해 직접 전 NSA 직원 PC의 취약점을 알아내 정보를 유출시키는 상황이다. 그러나 이 경우는 글로벌 보안회사가 직접 해킹에 관여한 상황을 가정한 만큼 가장 가능성이 희박하다. 보안회사의 존폐를 걸지 않는 한 이러한 시도를 하기는 어려운 탓이다.
다만 어떤 경우라도 현재까지 상황에서는 러시아 정부가 지원하는 해커들에게 카스퍼스키랩에 협조했다는 명확한 증거가 제시되지 않은 실정이다.
이보다 더 큰 문제는 NSA 전 직원이 어떻게 내부에서만 볼 수 있도록 허용된 기밀 문서를 집에 들고와 자신의 PC에서 보는 과정에 대해 내부에서 어떤 조치도 취해지지 않았냐는 점이다.
관련기사
- 대형 인터넷 암시장 '알파베이'·'한자' 폐쇄2017.10.10
- 랜섬웨어 또 확산…이번엔 부팅까지 차단2017.10.10
- 리눅스 sudo 취약점 발견…"보안강화 시스템 오히려 위험"2017.10.10
- 랜섬웨어 피해 100개국 확산…한국도 경보2017.10.10
카스퍼스키랩 연루설에 대해서는 추후 조사를 통해 밝혀질 일이지만 NSA의 보안 관리 허술이 더 큰 문제로 지적되는 이유다.
2013년 NSA 전 직원인 에드워드 스노든은 미국 하와이 오아후에 위치한 NSA 건물에서 수천개 기밀문서를 담은 USB드라이브를 들고 나왔다. 지난해에는 부즈앨런에 고용돼 NSA에서 근무했던 해럴드 마틴이라는 연구원이 50테라바이트급 기밀 데이터를 들고 나오려다 체포됐다.
