랜섬웨어 유포 SW 공급망공격 발생…“카세야 제품 사용 중단해야”

미국 IT관리 솔루션 제공업체인 ‘카세야(Kaseya)’의 제품인 ‘VSA’가 랜섬웨어 유포 경로로 악용된 공급망공격이 발생했다.

해외에서 카세야의 IT 관리용 제품을 사용하는 기업 다수가 피해를 본 것으로 알려졌다.

공격 대상이 된 카세야는 지난 3일 오후(현지시간) VSA 보안 사고 관련 업데이트를 홈페이지에 공지하면서 “카세야의 VSA 제품은 불행하게도 정교한 사이버공격의 희생양이 됐다”고 인정했다. 다만 카세야는 “우리 팀의 빠른 대응으로 매우 적은 수의 온프레미스 고객들만이 현지화됐다고 보고 있다”는 입장을 내놨다.

카세야측은 공격 피해 규모를 애써 축소하려고 애쓰고 있는 듯 하지만, 이 회사 제품을 사용한 매니지드서비스제공업체(MSP) 8곳을 통해 최소 200곳의 고객사가 랜섬웨어에 감염되는 피해를 입었다는 분석이 나오고 있다.

카세야측은 우선 조치사항으로 “온프레미스와 소프트웨어서비스(SaaS) VSA 서버를 오프라인 상태를 유지해야 한다”며 만약 랜섬웨어 증상이 나타나고 공격자로부터 메시지를 받더라도 어떤 링크도 클릭하지 말 것을 당부했다. 이어 “외부 전문가들로부터 랜섬웨어 감염 증상이 있고 공격자로부터 메시지를 받은 고객은 무기화 될 수 있으므로 어떤 링크도 클릭해서는 안된다는 조언을 받았다”고 안내했다.

아울러 카세야는 “미국 연방수사국(FBI)과 사이버공격 영향을 받는 전세계 고객사들과 사고 처리 프로세스에 협력하고 있고, 카세야 임원들이 대상 고객들에게 직접 연락해 이같은 상황과 더불어 가능한 지원책을 알리고 있다”면서 “컴퓨터 사고 대응 회사(파이어아이 맨디언트 IR)와 침해지표(IoC)를 기반으로 접근한 시스템과 데이터를 식별하고 고객들과 함께 검증했다. 또 공격 방식과 영향을 평가하고 취약성을 보완했는지 확인했으며 코드 수정 프로세스도 시작했다”고 밝혔다. 카세야는 패치 등 보안 업데이트를 추후 공지할 예정이다.

카세야 제품을 악용한 공급망공격이 외신 등을 통해 알려지면서 한국인터넷진흥원(KISA) 역시 긴급 보안 공지를 내고 모니터링에 나섰다.

KISA는 지난 3일 보호나라 홈페이지에 카세야의 VSA를 사용하는 MSP(Multiple Managed Service Provider)에 대한 공급망공격 발생 임시대응 방안 권고를 개요로 ‘랜섬웨어 감염 경로로 악용된 카세야 VSA 사용중단 권고’ 제목의 긴급공지를 냈다.

이번 공지에서 KISA는 이번 공격과 관련한 임시 대응방안으로 카세야 공지가 있을 때까지 VSA 사용을 중단해야 한다고 권고했다.

KISA는 이번 공격과 관련해 “아직 국내 피해가 신고된 사례는 없으며, 관련 사항을 집중 모니터링 중”이라고 밝혔다.

로이터, 와이어드 등 외신은 이번 공격으로 수백개의 기업이 피해를 입었다고 보도했다. 지난 금요일(현지시간) 데이터가 암호화된 것이 발견된 기업이 200개에 달한다는 내용이다. 워싱턴포스트는 “카세야의 소프트웨어는 수백개의 중소기업과 계약해 서비스를 제공하는 대규모 IT 회사에서 사용하기 때문에 해킹이 수천 명의 피해자에게 확산될 수 있다”며 “잠재적으로 수많은 회사가 영향 받을 수 있기 때문에 역사상 가장 큰 공격 중 하나가 될 수 있다”고 우려를 담은 내용을 보도했다.

이번 공격은 러시아 기반 랜섬웨어 공격조직으로 알려진 레빌(REvil)이 감행한 공급망공격으로 분석되고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network