지난해 말, 러시아 정부 해커 집단이 미국 정부 기관과 여러 기업에 네트워크 서비스를 공급하는 미국 IT 기업 솔라윈즈를 겨냥한 대규모 사이버 공격을 개시한 사실이 뒤늦게 확인돼, 전 세계에 큰 충격을 안겨주었다.
이른바 '솔라윈즈 공급망 해킹' 사태라고 알려진 러시아 정부 주도 사이버 공격 이후, 정부 산하 해커 조직 단위의 사이버 공격이 그 어느 때보다 더 기승을 부리고 있다. 이번에는 중국 정부 산하 해커 조직의 사이버 공격이 발견되었다.
중국 해커, MS의 보안 결함 악용
AP 통신 보도에 따르면, 중국 정부의 사이버 범죄 조직이 미국의 여러 기관을 겨냥한 해킹을 시도했다. 이 과정에는 마이크로소프트 이메일 서버 소프트웨어 버그가 악용된 것으로 확인됐다.
이에, 마이크로소프트는 중국 해커 집단이 악용한 버그를 확인하고, 메일 익스체인지 서버(Exchange Server) 소프트웨어의 취약점을 수정했다고 발표했다. 그리고, 하프늄(Hafnium)이라는 명칭의 중국 해커 조직이 제로데이 공격과 함께 익스체인지 서버를 조작해, 접근 권한을 취득하고, 미국 대학과 방위산업체, 로펌 등 여러 기업과 기관의 기밀을 탈취하고자 했다고 설명했다.
Microsoft has detected multiple 0-day exploits being used to attack on-premises versions of Microsoft Exchange Server in limited and targeted attacks. Microsoft Threat Intelligence Center (MSTIC) attributes this campaign with high confidence to HAFNIUM. https://t.co/tdsYGFICML
— Microsoft Security Intelligence (@MsftSecIntel) March 2, 2021
또, 마이크로소프트는 하프늄이 미국에서 임대한 개인 서버로 해킹 공격을 개시해, 공격 행위 감지와 추적을 피하고자 한 사실도 발견했다.
그러나 하프늄의 해킹으로 피해를 본 기관이 있는지는 구체적으로 알려지지 않았다.
하프늄, 2달 전부터 공격 개시
미국 온라인 테크 매체 PC 매거진은 마이크로소프트가 익스체인지 서버의 보안 취약점을 발견하도록 도운 미국 보안 기업 볼렉시티(Volexity)를 인용, 하프늄이 올해 1월 6일부터 해킹 활동을 개시하기 위한 움직임을 보였다고 설명했다.
또, 볼렉시티 측은 이번에 발견된 마이크로소프트의 취약점 중 CVE-2021-26855는 익스체인지를 운영하는 서버와 이메일을 탈취할 계정만 알고 있다면, 인증 절차를 전혀 거치지 않고 누구나 사이버 공격에 악용할 수 있어 특히 위험하다고 설명했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
