세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
대형 제약 회사, 사이버 공격에 당한 지 한 달 넘었지만 회복 멀었다
  |  입력 : 2017-08-01 17:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 머크(Merck), 영업 실적 발표에서 “사이버 공격으로 영업 지장” 밝혀
낫페트야 멀웨어에 당한 것으로 추정... 전체 피해 규모 아직까지 추산 중


[보안뉴스 오다인 기자] 한 달 전 사이버 공격에 당했던 미국의 제약 회사 머크(Merck)가 원래 예상했던 것보다 영업에 훨씬 큰 지장을 받게 됐다고 밝혔다.

[이미지=iclickart]


머크는 전 세계 140여 개국에서 사업을 하는 대기업으로 약 70,000명의 직원을 두고 있는데, 지난 6월 27일 사이버 공격을 받았다.

머크는 7월 28일 영업 실적을 발표하면서 사이버 공격이 전 세계의 제조, 연구, 판매에 지장을 주었다고 설명했으며, 몇 군데 시장에선 제품 주문을 처리하는 데도 지장이 있었다고 말했다.

사이버 공격이 발생한 지 한 달이 넘었으나 머크는 사업을 진행하는 데 지속적인 영향을 받고 있다. 머크는 피해 규모가 전체적으로 얼마나 되는지 아직 파악하지 못했다. 공격 이후 지금까지 머크가 복구할 수 있었던 유일한 기능은 포장 공정뿐인 것으로 나타났다. 제조 공정과 머크의 활성원료(API) 공정은 지금도 복구 중에 있다. 공격 이후 멈춰있는 대량 생산 공정 역시 아직까지 재개되지 못한 상태다.

머크는 영업 실적 발표에서 “머크 외부에서 진행되는 제조는 영향을 받지 않았다”고 짚었다. 머크의 최대 제품 중 몇 가지도 영향을 받지 않은 것으로 나타났다. 항암제 키트루다(Keytruda), 당뇨약 자누비아(Januvia), C형 간염약 제파티어(Zepatier) 등의 제조에는 영향이 없었다고 머크는 밝혔다. “이 밖에 다른 최고 제품들의 판매에도 큰 영향이 없는 것으로 보고 있다”고 머크는 설명했다.

머크는 6월 27일 당한 사이버 공격의 기술적인 세부사항에 대해 공개적으로 밝히진 않았기 때문에, 영업 실적 발표에서 말한 광범위한 지장이 어떤 원인에서 발생했는지에 대해선 정확히 알려진 바 없다. 그러나 다수의 보안 전문가가 그 사이버 공격이란 것이 지난 6월 터진 낫페트야(NotPetya) 멀웨어를 말하는 것이라고 보고 있다.

낫페트야를 추적하는 보안 전문가들은 낫페트야가 지난 5월 전 세계로 퍼진 워너크라이 랜섬웨어보다 정교한 버전이라고 설명했다. 워너크라이처럼 낫페트야도 미국 국가안보국(NSA)에서 유출된 익스플로잇 이터널블루(EternalBlue)를 사용해 서버 메시지 블록(SMB) 공유로 전파된다. 그러나 워너크라이와 달리 낫페트야는 전파에 다른 수단을 함께 사용했으며, 워너크라이를 제거하는 것보다 낫페트야를 제거하는 게 더 전문적이고 어렵다고 평가된다.

낫페트야를 추적해온 카스퍼스키 랩 등의 보안 업체들은 낫페트야가 적어도 2,000개의 기업을 공격했다고 추산한다. 머크 외에도 덴마크의 A.P. 몰러-머스크(A.P. Moller-Maersk), 러시아의 철강 대기업 에브라즈(Evraz), 우크라이나의 보리스필(Boryspil) 공항 등이 낫페트야에 당한 것으로 보인다.

최근 몇 달 사이 발생한 세계적인 멀웨어 공격으로 사업에 지장을 받았다고 밝힌 대기업은 머크가 두 번째다. 일본의 자동차 제조업체 혼다 모터스(Honda Motors)는 지난 6월 워너크라이 랜섬웨어(WannaCry Ransomware) 공격을 받아 일본 사야마 공장이 이틀간 가동을 중단했다고 밝혔다. 혼다는 가동 중단으로 인해 1,000여 대의 차량 생산에 지장을 받은 것으로 나타났다.

“랜섬웨어는 아주 쉽게 기업을 장악해버립니다. 요즘엔 피해 사례도 자주 나오고 있어서 랜섬웨어라면 더 놀라울 것도 없네요.” 보안 업체 이센타이어(eSentire)의 설립자이자 최고 보안 전략가 엘돈 스프리커호프(Eldon Sprickerhoff)는 랜섬웨어의 위력을 강조하며 이 같이 말했다. “제조 환경을 보호할 때 기업과 산업 사이 망 분리를 강력하게 시행하는 게 최선이지만, 현실에선 언제나 접근 오버랩(access overlap)이 있을 수밖에 없죠.”

랜섬웨어 등의 사이버 공격 사건들은 왜 모든 기업이 고도로 예민한 네트워크를 사용해야 하는지 그 필요성을 부각시킨다. 기업은 자사의 중요한 자산을 식별하고, 이에 대한 모든 접근 수단을 밝혀내며, 어떤 접근 수단으로 어떤 자산에 어떤 위협을 가할 수 있는지 파악해야 한다. 이런 위험 평가를 수행할 만한 네트워크가 기업에 필요한 것이다.

스프리커호프는 기업이 익스플로잇이나 침해의 징후를 지속적으로 꼼꼼히 모니터하려면 각 위치마다 어떤 통제권이 있는지 파악해야 한다고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)