‘태양풍이 몰고 온 폭풍’ 미국 발칵 뒤집힌 솔라윈즈 해킹 사건 쟁점

류지윤
2020년 12월 17일 오후 4:49 업데이트: 2021년 01월 14일 오후 2:19

미 정보당국도 사용하는 네트워크 관리 소프트
해킹 사건 보고 직전, 회사주식 대거 처분 확인
세계적 사모펀드 실버레이크 조사로 이어지나

미국 대형 네트워크 관리 소프트웨어가 해킹공격을 받아, 악성코드가 포함된 채 1만 개 이상의 기업·정부기관에 유포된 사실이 뒤늦게 밝혀져 미국 사회가 충격에 빠졌다.

해당 소프트웨어가 미 국가안보국(NSA), 연방수사국(FBI), 국방부 등 국가 안보관련 핵심기관 다수에서 사용되고 있다는 사실이 알려지면서 이번 사태의 파장은 더욱 컸다.

해킹 공격의 규모가 일개 국가 차원이라는 당국 발표에 월스트리트저널(WSJ) 등 미 주류매체들이 일제히 러시아를 배후로 지목하는 가운데, 주미 러시아 대사관은 이를 부인했다.

13일 밤(현지시각) 미국 국토안보부(DHS) 산하 사이버보안·인프라안전국(CISA)은 전체 연방기관을 대상으로 네트워크 관리 소프트웨어 ‘솔라윈즈’(Solarwinds) 작동을 즉시 중단하라는 긴급 보안 지침을 내렸다.

이에 따라 솔라윈즈를 실행하는 모든 컴퓨터는 작동을 멈추고 전원이 차단됐다. 솔라윈즈 제품 중 하나인 오리온에 대해서도 같은 조치가 내려졌다. 오리온은 정보기술(IT) 성능을 모니터링하는 소프트웨어다.

솔라윈즈는 이날, 지난 3월부터 6월까지 정부수준의 해커가 업데이트 프로그램에 악성코드를 심어, 업데이트 프로그램을 내려받은 이용자의 시스템에 백도어(미승인된 접근통로)를 퍼뜨렸다고 밝혔다.

회사 측에 따르면, 전체 30만개 거래업체 가운데 오리온 사용업체는 3만3천여곳, 문제가 된 업데이트 실행 업체는 1만 8천곳이다. 전체의 3% 수준이지만, 문제는 이들이 어떤 곳이냐다.

폭스뉴스에 따르면 솔라윈즈의 주요 고객에는 이번 사태를 알린 사이버보안·인프라안전국을 포함해 국방부, 연방수사국(FBI), 국토안보부, 재향군인회 등 미국의 핵심 정보기관이 다수 포함됐다.

또한 솔라윈즈의 홈페이지에 따르면 미 포춘 500대 기업 중 425개사, 미 10대 통신업체, 미 육군·해군·해병대·공군·해안경비대, 국무부, 항공우주국(NSA), 연방우체국, 해양대기청, 사법부, 전 세계 대학 수백 곳 등이 고객 명단에 올라 있었다.

이번 미국 대선 부정의혹 핵심으로 떠오른 전자투표기업체 도미니언도 솔라윈즈 제품을 사용했다.

로이터통신은 업계 소식통을 인용해 “해커가 가치가 높은 소수의 목표에만 집중한 것 같다”며 대다수 고객은 해킹 대상에 속하지 않는다고 전했지만, 아직 확실한 것은 밝혀지지 않은 상태다.

케빈 톰슨(Kevin Thompson) 솔라윈즈 CEO는 성명을 통해 “해킹은 국가에 의해 시작됐고, 고도로 복잡하며, 겨냥성이 강하다”고 발표했다.

이를 근거로 WSJ 등 주류매체는 APT29 혹은 코지 베어(Cozy Bear) 등의 이름으로 알려진 러시아 정부 해커가 일으킨 사건으로 단정짓고 있다.

그러나 주미 러시아 대사관은 이날 페이스북에 성명을 내고 “미국 언론이 근거 없는 주장으로 미국 정부에 대한 해커 공격의 배후로 러시아를 지목하고 있다”며 이를 부인했다. 블라디미르 푸틴 러시아 대통령이 지난 9월 25일 미국과 체결한 정보보안 협약서도 제시했다.

솔라윈즈 대주주, 사건 공개 직전 주식 대거 처분

현재 해킹 사건에 대한 조사는 공격을 가한 해커뿐만 아니라, 공격을 당한 솔라윈즈 CEO와 경영진으로 향하고 있다.

솔라윈즈 본사가 위치한 텍사스주 오스틴 지역 라디오 토크(Talk) 1370AM이 폭스뉴스 앵커 숀 해니티에 밝힌 바에 따르면, 현재 미 FBI와 텍사스 레인저, 연방보안관 등이 솔라윈즈 본사에서 시스템에 대한 조사를 벌이고 있을 뿐만 아니라, CEO와 경영진에 대해서도 수사하고 있다.

경영진이 조사 대상에 오른 것은 이 회사 주식의 수상한 움직임과도 맞물린다. 솔라윈즈 대주주인 사모펀드가 이번 사태가 공개되기 직전, 보유중이던 솔라윈즈 주식을 대거 처분했기 때문이다.

16일 워싱턴포스트, CRN 등에 따르면 사모펀드 실버레이크는 지난 7일 보유 중이던 솔라윈즈 주식 1300만주를 주당 21.97달러에 처분했다. 총 2억 8600만달러(약 3천억원)어치다.

또한 실버레이크는 주식 처분 이틀 뒤 회사 CEO를 교체했고, 나흘 뒤인 11일에야 솔라윈즈는 해킹 사실을 관계 당국에 보고했다. 실버레이크가 해킹 사실을 미리 알고 있었으며, 사건이 공개돼 주가가 떨어지기 전 손털고 나갔다고 밖에 볼 수 없는 상황이다.

이밖에 실버레이크와 연간 수백조원을 굴리는 대형 사모펀드 칼라일 그룹 사이 파트너십도 주목된다.

칼라일 그룹은 도미니언의 지배구조를 추적하다 보면 등장한다. 그룹 고위임원인 윌리엄 케나드가 사모펀드 투자회사 ‘스테이플 스트리트 캐피탈’(Staple Street Capital)의 이사회 멤버를 겸하고 있는데, 도미니언은 지난 2018년 이 회사에 인수됐다는 사실을 공식 발표한 바 있다.

트위터의 에곤 더반(Egon Durban) 이사가 실버레이크 공동 CEO라는 점도 또 하나의 연결고리다.

트위터는 지난 5월 구글에서 인공지능(AI) 머신러닝 총책임자를 맡았던 리페이페이(李飛飛)를 사외이사로 영입했다. 그녀는 AI를 활용한 검열에 기여할 것으로 여겨지는데, 중공 간첩이라는 지적도 받고 있다.

솔라윈즈 사건이 생각보다 매우 거대한 사건일 수 있다는 분석이 나오는 이유다.

한편, 이번 사건을 계기로 감독 당국인 사이버보안·인프라안전국(CISA)과 크립스 크랩스 전 CISA국장의 발언도 뒤늦게 재평가 되고 있다.

그는 이번 대선이 “미국 역사상 가장 안전한 선거”라고 주장했다가 지난달 17일 트럼프 대통령에 의해 “정확하지 못한 발언을 했다”는 지적과 함께 해임됐다.

크랩스 전 국장 체제 아래에서 CISA는 선거 사기 주장은 사실이 아니라고 홍보하는 루머 컨트롤(Rumor Control)이라는 블로그를 운영하기도 했다.

솔라윈즈 제품들이 업데이트된 올해 3월부터 6월 사이를 기점으로 미국 주요기관들이 해킹 공격을 받았을 상황을 고려하면, CISA는 자기 텃밭이 도둑맞는 줄도 모르고 “대선은 안전했다”는 선전에만 열 올린 모양새가 됐다.