대형 칩셋 기업 TSMC가 록빗이라는 랜섬웨어에 당했다. 기업이 직접 당한 건 아니고 서드파티를 통해 사건이 벌어진 것이었다. 최근 손꼽히는 대기업들이 서드파티를 통해 사건 사고에 휘말리는 사례가 늘어나고 있다.
[보안뉴스 문가용 기자] 대만의 대형 반도체 제조사인 TSMC가 지난 금요일 사이버 공격에 당했다. TSMC 측은 자사가 직접 당한 것이 아니라, 서드파티 IT 하드웨어 공급 업체를 통해 공격이 이뤄졌다고 주장하고 있다. 공격의 배후에는 록빗(LockBit)이 있으며, 이들은 TSMC에 7천만 달러의 돈을 요구하고 있다. 록빗이 어떤 데이터에 접근해 손에 쥐게 되었는지에 대해서는 아직 명확히 밝혀진 바가 없다. 다만 TSMC는 “고객 데이터는 안전하다”는 입장을 고수하고 있다.
![[보안뉴스 / 7.2.] 서드파티 침해 사고로 7천만 달러 내야 할 위기에 처한 TSMC](http://www.boannews.com/media/upFiles2/2023/07/1042687834_167.jpg)
[이미지 = gettyimagesbank]
서드파티 침해 사고
TSMC는 공식 발표문을 통해 “IT 하드웨어 공급을 담당하는 한 서드파티 기업에서 사이버 보안 사고가 일어났고, 이 사건으로 서버의 초기 설정과 관련된 정보가 새나갔다”고 밝혔다. 문제의 서드파티는 킨맥스테크놀로지(Kinmax Technology)라고 하는데, 이 회사는 대만에 있는 기업으로 아루바(Aruba), 체크포인트(Checkpoint), 시스코(Cisco), 시트릭스(Citrix), 포티넷(Fortinet), 휴렛패커드(Hewlett-Packard), 마이크로소프트(Microsoft), VM웨어(VMware) 등 다른 국제적인 IT 기업들과도 계약 관계에 있는 것으로 알려져 있다. 이번 사건으로 위 기업들에 영향이 있는지 없는지는 아직 확실하게 조사된 바가 없다.
한편 록빗의 하위 그룹이라고 스스로 주장하는 NHA(National Hazard Agency, 국립위험국)는 TSMC가 7천만 달러를 8월 6일까지 내지 않으면 중요한 정보가 공개될 것이라고 협박하는 중이다. ‘중요한 정보’ 중에는 TSMC의 네트워크로 진입할 수 있게 해 주는 방법과 데이터(크리덴셜 포함)가 있다고도 주장하고 있다. 7천만 달러를 내지 않고 이 정보가 공개된다면 누구나 TSMC의 네트워크에 접속할 수 있게 된다는 것이다. 칩셋 전쟁이 전 세계 지정학 관계를 좌지우지 하는 지금, 해커들 입장에서 TSMC만큼 접속하고 싶은 네트워크도 없을 것이다. 어쩌면 해커들은 TSMC가 돈을 내지 않기를 바라고 있을지도 모른다.
TSMC는 킨맥스 측에서 사고 내용을 알린 후 자체 점검을 통해 모든 하드웨어 요소들과 보안 설정 사항들을 검토했다고 발표했다. “TSMC는 사고에 대하여 제보를 받은 뒤 저희 회사의 보안 규정과 절차에 따라 해당 기업과의 데이터 교류 채널을 전부 차단했습니다. 그런 후에 피해의 규모를 확인하기 위한 조사를 시작했습니다.” 그러면서 TSMC는 “이 일을 계기로 서드파티 벤더와 공급자들의 보안 상태를 강화하기 위해 추가적인 투자를 감행할 계획”임을 밝히기도 했다.
킨맥스 측, “별 일 아냐”
킨맥스가 수상한 침투의 흔적을 발견한 건 6월 29일의 일이다. 킨맥스에 따르면 공격자들은 엔지니어링 실험 환경에 침투해 시스템 설치 준비와 관련된 정보에 접근했다고 한다. “고객들을 위해 시스템 설치 환경을 마련해 운영하고 있는데, 공격자들은 그곳에 침투했습니다. 설치 환경 설정 파일 등 매개변수에 해당하는 정보들을 캡쳐해 간 것이 전부입니다.”
킨맥스 측은 그렇게까지 큰 일이 벌어진 것이 아니라는 듯한 뉘앙스를 풍기고 있다. “이번에 침해된 정보는 실제 고객이 사업 운영에 사용하고 있는 시스템이나 애플리케이션의 설정과 아무런 관련이 없습니다. 저희가 하드웨어를 고객에게 최초 배송하는 시기에 설정된 기본 설정값만 가져갔을 뿐입니다. 또한 저희 고객은 이 사건으로 인해 피해를 입은 적이 없고, 해킹 공격을 받았다고 할 수도 없습니다.” 킨맥스는 TSMC라는 이름을 직접 언급하지 않고 ‘고객’이라고 칭하고 있다.
하지만 타 매체와의 인터뷰를 통해서 킨맥스는 사과의 뜻을 전하기도 했다. “이번 사건으로 영향을 받은 고객들에게 깊은 사과의 마음을 전하고 싶습니다. 유출된 정보에는 이름과 관련된 것들이 포함되어 있고, 이 때문에 불편이 야기되었을 수 있기 때문입니다. 저희 회사는 이 사건을 철저하게 조사했고, 필요한 보안 조치를 취하며 강화했습니다. 미래에 같은 사고가 다시는 일어나지 않도록 하겠습니다.”
서드파티 업체를 통해 데이터 침해 사고를 겪는 사례가 최근 부쩍 늘어나고 있으며, TSMC와 같은 대형 업체도 이를 피하기 어려웠던 것으로 보인다. 특히 현재는 클롭(Clop) 랜섬웨어 그룹이 무브잇(MOVEit)이라는 파일 전송 앱의 취약점을 익스플로잇 함으로써, 수많은 무브잇 고객사에 침투해 정보를 빼간 것으로 들썩들썩한 상황이다. 현재까지 밝혀진 피해자들만 하더라도 지멘스, 슈나이더, UCLA 등 하나하나의 규모가 작지 않은 곳이다.
IT 공급망과 서드파티의 보안 강화 문제는 모든 기업들의 오랜 과제다. 자사 네트워크와 장비, 애플리케이션들을 보호하는 것은 당연하고, 이제는 사업적 관계를 맺고 있는 파트너사들의 보안도 확인 및 점검을 해야 하는 때다. TSMC도 “다시 벤더사들을 점검해 TSMC가 요구하고 있는 보안 규정들을 준수하고 있는지 확인할 것”이라고 밝혔다.
3줄 요약
1. 대형 칩셋 제조사 TSMC에서 해킹 사고 발생.
2. 알고 보니 하드웨어 공급을 담당하는 서드파티인 킨맥스라는 회사에서 벌어진 일.
3. 서드파티 보안 사고, 현재 수많은 기업들 위협 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.2.] 서드파티 침해 사고로 7천만 달러 내야 할 위기에 처한 TSMC](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
