미국 연방수사국(FBI)과 국가안보국(NSA), 그리고 국토안보부 산하의 사이버 보안 및 인프라 보안국(CISA)이 합동 발표를 통해 적어도 2020년 1월부터 미국의 공인 방위산업체(cleared defense contractors, 이하 CDCs) 네트워크에서 스파이 활동이 있어 왔다고 밝혔다.
CDCs는 미국 국방성과 관련된 여러 분야에서 지휘·통제·통신 및 전투 시스템과 무기 개발, 차량 및 항공기 설계, 데이터 분석 등의 서비스 계약 등을 지원하고 있다. 즉, CDCs의 네트워크를 통해 미국 방위산업의 흐름을 파악할 수 있다는 의미다.
공동 발표에 따르면 공격자들은 기업이나 클라우드 네트워크를 공격할 때와 비슷한 방법을 사용해 마이크로소프트 365를 사용하는 시스템을 타깃으로 삼았다. 이들은 합법적인 자격 증명과 데이터 유출에 사용되는 여러 악성 프로그램을 사용해 CDCs를 공격했으며, 이러한 사이버 스파이 행위가 6개월 이상 지속된 사례도 발견됐다.
미국 보안 당국은 “2020년 1월부터 2022년 2월까지 러시아 국영 사이버 공격자들이 정기적으로 CDCs 네트워크를 침입한 것을 관찰했다. 이들은 CDCs 내부 문서와 이메일을 유출함으로써 미국의 적대국들이 군사 계획과 우선 순위를 조절하고 미국의 의도에 선제적으로 대응할 수 있도록 지원했다. 이번에 피해를 받은 대상은 미국 육군, 공군, 해군, 우주군, 국방성 및 기밀 정보다”라고 전했다.
한편, 지난 1월 중순 CISA, FBI, NSA는 러시아가 지원하는 해커의 위협에 대해 주의해야 한다는 합동 경보를 주요 인프라 운영자에게 전달한 바 있다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
