올해 주요 사이버 해킹 사건으로 꼽히는 무브잇(MOVEit) 취약점 공격에 피해를 입은 기업이 계속 늘고 있다.
뉴질랜드의 사이버 보안 기업 에미소프트(Emisoft)은 올해 5월부터 현재까지 무브잇 공격으로 인해 약 2,620개 조직과 7,720만 명이 피해를 입었다고 밝혔다.
무브잇은 프로그레스 소프트웨어(Progress Software)가 제작한 기업용 파일 전송 프로그램이다. 프로그레스 소프트웨어는 지난 5월 31일 제로데이 취약점을 처음 보고하며 패치를 발표했고, 6월 9일과 15일에 추가 패치를 공개했다. 무브잇 공격의 배후에는 러시아 랜섬웨어 그룹 클롭(Clop)이 있는 것으로 알려졌다. 클롭은 지난 6월 무브잇 공격이 자신들의 소행이라고 주장한 바 있다.
에미소프트에 따르면 무브잇 공격의 피해 대부분이 미국에 기반을 둔 조직에서 나타났다. 피해 조직의 78.1%가 미국에 있었다. 피해 조직 비율은 미국 다음으로 캐나다 14%, 독일 1.4%, 영국 0.8% 순이었다.
영향을 받은 조직 중 40.6%가 교육 분야였으며, 의료(19.2%), 금융 및 전문 서비스(12.1%)가 그 뒤를 이었다. 에미소프트의 조사는 공개 공시, SEC 제출 자료, 주정부 침해 통지, 클롭 웹사이트 데이터를 기반으로 진행됐다.
무브잇 공격의 심각성은 안티 바이러스 기업 젠디지털(Gen Digital) 사례를 통해 짐작할 수 있다. 이번 공격이 보안 소프트웨어 노턴(Norton)과 어베스트(Avast)를 소유한 젠디지털의 고객 기록에까지 영향을 미쳤기 때문이다.
어베스트는 일부 고객의 “위험도가 낮은 고객 개인 정보”가 유출됐다고 밝힌 바 있다. 에미소프트 조사에 따르면 어베스트 개인 고객 3백만 명의 데이터가 공격의 영향을 받았다.
무브잇은 정부 기관 및 유수의 기업까지 공격 대상으로 삼았다. 막시무스(Maximus), 루이지애나주 자동차국(Louisiana OMV), 알로젠트(Alogent), 콜로라도주 의료 정책 및 재정국(Colorado HCPF), 웰톡(Welltok), 미국 에너지부(DOE), 쉘(Shell Oil), 영국항공(British Airways), 메인주, 젠워스(Genworth), 오리건주 교통부(ODOT) 등이 공격의 영향을 받았다.
보안 위협의 증가
무브잇은 영향권 내의 기업과 고객에게 장기적인 피해를 입힌 올해의 주요 취약점 공격 사건으로 꼽힌다. 또한 데이터를 보호하는 데 있어 조직이 직면한 문제를 수면 위로 드러낸 사건이기도 하다.
현재 무브잇 플랫폼 소유주인 프로그레스 소프트웨어는 미국 증권거래위원회(SEC)의 조사를 받고 있다. 소비자 권리 전문 로펌인 하겐스버먼(Hagens Berman)이 집단 소송을 준비하고 있으며, 피해 조직과 개인 정보가 유출된 이들은 피해 보상을 요구하고 있다.
사이버 공격과 데이터 유출의 빈도와 강도가 매년 증가함에 따라 기업의 데이터 보호는 더욱 어려워지고 있다. 최근 IBM 보고서에 따르면 데이터 유출로 인한 평균 비용은 2023년 445만 달러로 사상 최고치를 기록했다. 이는 2022년에 비해 2.3% 증가한 수치다. IBM은 데이터 유출과 관련된 레코드당 평균 비용이 2023년 165달러에 이를 것으로 전망했다.
이번 사건은 조직이 내부 보안뿐만 아니라 공급망의 안전을 보장하기 위해 노력해야 한다는 점을 시사한다. 사건으로 피해를 입은 여러 조직이 무브잇의 직접적인 사용자가 아니었지만, 공급망을 통해 영향을 받았기 때문이다. dl-ciokorea@foundryco.com
