컨텐츠 바로가기

03.29 (금)

카세야 랜섬웨어 공격, '뜨거웠던 7월'의 타임라인 정리

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
2021년 7월, 미국의 소프트웨어 제공업체 카세야(Kaseya)에 대한 악명 높은 러시아와 관련된 랜섬웨어 그룹 레빌(REvil)의 공격으로 최대 2,000개의 기관과 기업이 영향을 받은 것으로 추정된다. 레빌은 카세야의 원격 컴퓨터 관리 도구의 취약점(CVE-2021-30116)을 이용해 공격을 감행했고 그 여파가 몇 주 동안 지속되면서 해당 사건에 대한 정보가 점차 공개되고 있다.
ITWorld

ⓒ Getty Images Bank

<이미지를 클릭하시면 크게 보실 수 있습니다>



이 사건은 소프트웨어 공급망과 정교한 랜섬웨어 그룹에 의한 위협을 다시금 상기시켰다. 다음은 카세야의 사건 업데이트 페이지와 기타 출처를 바탕으로 해당 공격의 타임라인과 영향을 받은 피해자들에 대한 기록이다.


카세야 레빌 랜섬웨어 공격 타임라인

- 7월 2일 금요일: 카세야의 사건 대응팀은 원격 컴퓨터 관리 도구인 카세야 VSA(Kaseya VSA)와 관련된 잠재적인 보안 이벤트를 탐지했다.
이 조사를 통해 카세야는 모든 온프레미스 고객에게 추가적인 공지가 있을 때까지 VSA 서버를 셧다운하도록 조언했으며 예비 조치로써 SaaS 서버도 셧다운했다. 카세야의 내부팀은 보안 전문가들과 함께 문제의 원인을 파악하고 FBI와 CISA 등의 시행 및 정부 사이버보안 기관에 알렸다. 카세야는 조기 지표를 통해 소수(40곳)의 온프레미스 카세야 고객만이 영향을 받았음을 확인했으며 취약점의 출처를 알아냈다고 밝혔다. 미 동부시간으로 오후 10시 패치가 준비되고 있었다.

- 7월 3일 토요일: 카세야가 사이버 공격을 받았다고 밝혔다.
카세야는 계속해서 온프레미스 고객들에게 패치가 공개될 때까지 VSA 서버를 오프라인 상태로 유지하도록 강력히 권고했다. 또한 랜섬웨어 공격자들로부터 메시지를 받은 고객이 어떤 링크도 클릭하지 않도록 조언했다. 카세야는 VSA 고객이 시스템의 상태를 평가하는 데 도움이 되는 해킹 탐지 도구를 만들고 있다고 발표했다. 카세야는 지속적으로 영향을 받은 사용자에게 연락하고 다음 날 CEO 프레드 보콜라가 사건에 대한 인터뷰를 진행할 것이라고 밝혔다.

- 7월 4일 일요일: 카세야는 데이터센터 온라인 연결 지연을 발표하고 해당 해킹 탐지 도구를 공개했다.
카세야의 임원진은 고객 위험을 최소화하기 위해 데이터센터 온라인 연결을 재개하기 전에 더 많은 시간이 필요하다고 판단했다. 굿모닝 아메리카에서의 인터뷰에서 보콜라는 “우리는 어떻게 이런 일이 발생했는지 확실히 알고 있으며 이를 해결하고 있다”라고 밝혔다. 해킹 탐지 도구가 공개적으로 다운로드를 통해 제공됐으며, FBI와 CISA는 MSP와 영향을 받은 고객들을 위해 공동 지침을 발표했다. 이 지침은 최신 백업을 확보해 기업 네트워크와 격리되고 손쉽게 검색할 수 있는 곳에 저장하도록 촉구하면서 수동 패치 관리 프로세스로 전환하고 다중 인증을 구현하라는 것이었다. 레빌 공격자는 자신들이 운영하는 '해피 블로그(Happy Blog)'에서 100만 개 이상의 기기가 감염됐고 7,000만 달러어치의 비트코인을 대가로 카세야에 범용 복호화 키를 제공하겠다고 자랑했다.

- 7월 5일 월요일: 카세야는 해킹을 당한 고객은 60명 미만이며 패치를 테스트하고 있다고 밝혔다.
카세야는 온프레미스 사용자를 위한 패치를 테스트하고 있으며, 24시간 이내에 제공할 것이라고 약속했다. 미디어가 해당 공격에 대해 대대적으로 보도하고 있는 가운데, 카세야는 미동부시간으로 7월 6일 오후 4~7시에 SaaS 서버를 다시 온라인으로 연결할 수 있을 것으로 추정했다.

- 7월 6일 화요일: 카세야가 SaaS 인프라에 보안 계층을 추가했다.
카세야는 점진적으로 온라인으로 연결할 수 있도록 VSA 서버의 기본 IP 주소를 변경하기 위해 SaaS 인프라에 추가적인 보안 계층을 구성하기 시작했다. 하지만 롤아웃 시 문제가 발견됐고 공개가 지연됐다. 운영팀은 밤을 세워 문제를 해결하고 다음 날 오전에 업데이트를 제공했다. 영국의 NCSC(National Cyber Security Centre)는 영국 기업에 대한 공격의 영향이 ‘제한적’인 것으로 보인다고 밝히면서 기업 고객이 카세야의 지침을 준수하도록 조언했다.

- 7월 7일 수요일: 카세야가 SaaS 및 온프레미스 픽스 지연에 대해 사과했다.
카세야는 온프레미스 고객들이 패치 출시에 대비할 수 있도록 가이드를 마련하고 새로운 업데이트를 보콜라의 이메일로 제공해 현재 상황을 설명할 것이라고 밝혔다. 카세야는 SaaS 및 온프레미스 픽스 배치에 대한 계속된 지연에 대해 사과했다.

- 7월 8일 목요일: 미국 정부는 러시아에 책임을 물을 것이라고 밝히고, 카세야는 패치 공개를 다시 연기했다.
백악관의 언론 담당 비서관 젠 싸키는 미 안보 ‘고위 관계자’가 러시아 관계자에게 연락해 카세야 공격으로 인한 자국 내에서 일어나는 범죄 행위에 대해 러시아에 책임을 물을 것이라고 명확히 밝혔다. 또한 싸키는 양국 간 또 다른 랜섬웨어 관련 회담이 다음 주에 있을 예정이라고 밝혔다.
한편, 카세야는 7월 11일 일요일에는 온프레미스 패치를 출시할 수 있을 것이라고 밝히며, SaaS 인프라에 대한 배치를 시작했다. 카세야는 보콜라와 CTO 댄 팀슨이 출연한 2개의 업데이트 동영상을 공개하고 상황, 진행과정, 다음 조치에 대해 설명했다. 또한 카세야는 이 사건을 악용해 악성 링크와 첨부파일이 포함된 가짜 알림이 포함된 피싱 이메일을 전송하는 스팸 발송자들에 대해 경고했다. 또한 고객들에게 링크 또는 첨부파일이 포함된 이메일 업데이트를 발송하지 않을 것이라고 밝혔다.

- 7월 9일 금요일: 카세야가 강화된 업데이트를 제공했다.
카세야는 VSA 온프레미스 강화 및 활동 가이드를 업데이트하고 부사장 마이크 샌더스는 고객들의 회복을 위한 카세야 팀의 지속적인 노력에 대해 이야기했다. 또한 샌더스는 카세야 외부에서 이루어지고 있는 지속적이고 의심스러운 활동이 증가하고 있다고 밝혔다.

- 7월 10일 토요일: 카세야가 보안 결함에 대한 경고를 받았다는 보도가 나왔다.
카세야는 온프레미스 패치를 제공하고 SaaS 인프라를 미동부시간으로 7월 11일 오후 4시까지 온라인에 연결하기 위해 지속적으로 노력하고 있다고 밝혔다. 샌더스의 최신 동영상 업데이트에서는 카세야가 이를 준비하기 위해 취할 수 있는 조치에 대해 설명했다. 한편, 블룸버그는 카세야의 퇴직자의 말을 빌어, 카세야의 임원들이 2017년과 2020년 사이에 수 차례에 걸쳐 소프트웨어의 치명적인 보안 결함에 대한 경고를 받았지만 이를 해결하지 못했다고 밝혔다.

- 7월 11일 일요일: 카세야가 패치를 공개하고 SaaS 복구를 시작했다.
카세야는 온프레미스 패치를 공개하고 목표 시간인 오후 4시 이전에 SaaS 인프라를 복구하기 시작했다. 미동부시간 오후 10시, SaaS 고객 가운데 60%가 연결됐고 나머지 고객도 몇 시간 안에 온라인으로 연결될 것이라고 밝혔다. 지원팀은 패치에 도움이 필요한 온프레미스 고객들을 돕고 있었다.

- 7월 12일 월요일: 카세야의 SaaS 인프라 복구는 미동부시간으로 오후 3시 30분에 완료됐다. 하지만 성능 문제 때문에 계획에 없던 유지보수를 수행하게 되면서 짧은 다운타임이 발생했다. 패치 지원을 통해 온프레미스 사용자를 지속적으로 지원했다.

- 7월 13일 화요일: 레빌 웹 사이트가 사라졌다.
모든 레빌 랜섬웨어 웹 사이트가 갑자기 오프라인 상태가 되었고 보안 전문가들은 미국 또는 러시아 정부의 잠재적인 조치라고 추측할 수밖에 없었다. 이로 인해 일부 피해자들은 레빌과 협상해 복호화 키를 통해 암호화된 네트워크의 잠금을 해제해 데이터를 복구하려는 시도가 무산됐다. 카세야의 자문가들은 사용자들에게 다양한 고객 가이드를 참조해 이 사건에 대응하고 온라인으로 다시 연결하도록 유도했다.

- 7월 14일 수요일: 카세야가 고객들을 위해 패치 설치 점검에 대한 조언을 제공했다.
카세야는 “VSA에서 Kinstall 패치를 실행할 때 VSA 재설치를 선택하고 기본 옵션을 선택하지 않고 최신 패치를 설치하거나 ‘패치 설치’ 옵션을 선택하지 않고 VSA 재설치 프로세스를 다시 실행하면 패치가 다시 적용되지 않을 가능성이 있다. 드문 경우이긴 하지만 최신 패치가 제대로 설치되었는지 확인하는 것이 좋다. 패치가 제대로 설치되었는지 확인하는 도구를 개발했다”라고 밝혔다.

- 7월 16일 금요일: 피해자들이 복호화 도구로 문제를 겪고 카세야가 비보안 패치를 공개했다.
레빌의 웹 사이트가 여전히 오프라인 상태에서 일부 피해자들은 복호화 도구에 대한 비용을 지불했지만 지원을 위해 레빌에 연락할 방법이 없는 상태에서 파일과 시스템의 잠금을 해제하기 위해 고생하고 있었다. 카세야는 향상된 보안 조치로 인해 발생한 기능 문제와 다른 버그를 해결하기 위해 비보안 관련 패치(9.5.7.3011)를 공개한다고 발표했다. 배치는 7월 17일(SaaS)과 7월 19일(온프레미스)에 시작될 것으로 예상됐다.

- 7월 17일 토요일: 첫 번째로 업데이트된 SaaS 패치에 대한 배치가 시작됐다.

- 7월 19일 월요일: 업데이트된 SaaS 패치의 나머지 배치가 시작됐다.

- 7월 20일 화요일: 새로운 기능 패치가 공개됐다.
카세야는 기능 문제와 버그를 해결하기 위해 추가적인 패치 업데이트(9.5.7.3015)를 제공했으며 업데이트된 온프레미스 패치를 제공했다.

- 7월 21일 수요일: SaaS 기능이 업데이트됐다.
카세야는 기능 문제를 해결하고 사소한 버그 픽스를 제공하기 위해 SaaS 인스턴스를 다시 업데이트했다. 이로 인해 서비스가 재시작 되면서 잠시 동안 중단(2~10분)이 발생했다.

- 7월 22일 목요일: 카세야가 범용 복호화 키를 확보했다.
카세야는 랜섬웨어 피해자들을 위해 범용 복호화 키를 확보했다고 발표했다. 카세야는 “우리는 서드파티로부터 해당 도구를 확보했으며 팀들은 랜섬웨어에 영향을 받은 고객들이 환경을 복구할 수 있도록 적극적으로 돕고 있으며, 복호화와 관련된 문제가 보고되지 않았다. 우리는 엠시소프트(Emsisoft)와 함께 고객 소통 노력을 지원하고 있으며 엠시소프트는 해당 키로 피해자의 잠금을 해제할 수 있음을 확인했다. 랜섬웨어에 영향을 받은 고객들은 담당 직원이 연락할 것이다”고 말했다. 업계 전반에 걸쳐 카세야가 어떻게 복호화 도구를 얻게 되었으며 대가 지불 여부에 대해 많은 추측이 있었다.

- 7월 23일 금요일: 또 다른 기능 패치와 SaaS 업데이트가 공개되고 카세야는 복호화 키에 대해 비공개를 요청했다.
복호화 키에 대한 소식이 전 세계의 헤드라인을 장식하면서 어떻게 확보했는지에 대한 자세한 내용은 밝혀지지 않았다. 한편, 카세야는 온프레미스 고객들이 3가지의 비보안 문제를 해결할 수 있도록 퀵 픽스 패치 9.5.7b(9.5.7.3015)를 공개했다. 모든 SaaS 인스턴스도 업데이트되었다. CNN 보도에 따르면, 카세야는 복호화 키에 접근하는 고객에게 비밀유지계약(Non-Disclosure Agreement, NDA) 서명을 요구했다고 한다.

- 7월 24일 토요일: 보안 커뮤니티와 시장에서는 복호화 키 확보 과정에 대해 추측이 난무했으며, 카세야는 대가를 지불했는지 여부에 대해 함구했다.

- 7월 26일 월요일: 카세야가 복호화 도구는 ‘100% 효과적’이며 대가를 지불하지 않았다고 밝혔다.
카세야는 복호화 키에 대해 “지난 주말에 우리의 사건 대응팀과 엠시소프트의 파트너들은 암호화된 데이터의 복구를 위해 고객들을 지속적으로 지원했다. 우리는 요청하는 고객에게 복호화 키를 지속적으로 제공하고 있으며 공격 중 데이터가 암호화되었을 수 있는 모든 고객은 우리에게 문의하기 바란다. 복호화 도구는 공격으로 암호화된 파일을 복호화하는 데 100% 효과가 있는 것으로 입증되었다”라는 성명을 공개했다.

카세야가 공격자에게 대가를 지불했는지 여부에 대해 함구하면서 추가적인 랜섬웨어 공격이 발생할 수 있다는 주장에도 불구하고 카세야는 목표를 달성했다고 주장했다. “각 기업은 대가 지불에 대해 자체적으로 결정해야 하며, 카세야는 전문가들과 상의해 이번 공격을 자행한 범죄자들과 협상하지 않기로 결정했고 그 약속을 지켰다. 그런 의미에서 카세야는 복호화 키를 얻기 위해 직접적으로 또는 서드파티를 간접적으로 대가를 지불하지 않았다”라고 밝혔다. editor@itworld.co.kr

Michael Hill editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.