지난해 5월 러시아 연계 해커 그룹 ‘Cl0p(클롭)’이 기업용 파일 전송 소프트웨어 무브잇(MOVEit)의 치명적인 ‘제로데이 취약점’을 찾아내 여러 기업에 대대적인 공격을 감행했다는 사실이 알려졌다. 제로데이 취약점이란 소프트웨어 개발자도 모르는 보안 결함을 의미한다. 개발사가 문제를 발견하고 패치를 배포할 시간이 ‘제로(0)’인 상태에서 공격이 이루어진다는 의미에서 이러한 이름이 붙었다.
앞선 공격에서 해커 그룹은 정교한 해킹 기법을 통해 시스템 설정, 데이터베이스, 파일 검색은 물론 관리자 권한이 있는 새로운 계정까지 생성할 수 있었다. 더욱 충격적인 것은 이들이 2021년 7월부터 이 취약점을 테스트해 왔다는 사실이다.
이 사고로 2500개가 넘는 조직에서 6600만명 이상의 개인정보가 유출된 것으로 파악됐다. 이는 단순한 해킹 사고가 아닌, 현대 디지털 경제의 취약성을 적나라하게 드러낸 사건이었다. 교육, 의료, 금융 등 거의 모든 산업 분야가 영향을 받았다. 특히 아마존, 맥도날드, HSBC 등 글로벌 기업들의 직원 정보가 대거 유출되면서 그 파장이 현재까지도 계속해서 확대되고 있다.
해커 그룹은 280만줄 이상의 아마존 직원 개인정보 데이터를 유출했다고 주장했는데 실제로 직원 이름, 업무용 e메일 주소, 사무실 전화번호, 근무 위치 등이 유출된 것으로 나타났다. ‘Nam3L3ss’라는 닉네임을 사용하는 해커는 아마존을 포함한 25개 주요 기업의 데이터를 지난 11월 8일부터 해킹 포럼에 공개했다. 특히 이 해커는 “지금까지 공개된 정보는 전체의 0.001%에 불과하며 앞으로 1000건의 추가 공개가 있을 것”이라고 위협했다.
아마존 대변인은 자사의 직접적인 보안 사고는 없었다면서, 이번 사태가 협력사가 당한 보안 사고의 여파이며 해당 협력사는 이미 취약점을 패치했다고 밝혔다. 이번 사태는 ‘제3자 위험(Third-party Risk)’의 중요성을 다시 한번 일깨웠다. 기업이 자체 시스템을 아무리 잘 보호해도 협력업체들의 보안이 취약하다면 언제든 공격 대상이 될 수 있다는 교훈을 남겼다.
해당 사고의 경제적 손실은 약 121억달러에 달할 것으로 추정된다. 더욱 심각한 것은 이 피해가 단순히 일회성으로 끝나지 않는다는 점이다. 유출된 개인정보는 2차, 3차 범죄에 악용될 수 있으며, 기업들은 법적 소송과 규제 당국의 조사에 직면해 있다. 현재 58건의 집단소송이 진행 중이며, 미국 증권거래위원회(SEC)도 공식 조사에 착수했다.
이번 일이 특히 주목받는 이유는 ‘디지털 공급망 공격’의 전형을 보여주었기 때문이다. 콜로라도주립대학의 경우, 직접적인 보안 사고의 당사자가 아님에도 6개의 서로 다른 협력업체를 통해 데이터가 유출되는 사태를 겪었다. 이는 현대 기업 생태계의 상호연결성이 얼마나 깊은지, 그리고 그로 인한 위험이 얼마나 큰지를 여실히 보여준다.
무브잇 사태는 기업들의 사이버 보안 전략에 근본적인 변화를 요구하고 있다. 한 기업의 보안 취약점이 전체 산업 생태계의 위험으로 이어질 수 있기 때문이다. 더 이상 자사 시스템만을 보호하는 것만으로는 불충분하다. 협력업체와 서비스 제공자의 보안 수준까지 면밀히 검토하고 관리해야 하는 시대가 도래한 것이다.
<류한석 IT 칼럼니스트>