이란과 연관된 해킹 그룹 핸달라가 공격을 감행했다고 주장했습니다.
이란 해킹 그룹 핸달라(Handala)가 미국 의료기술 기업 스트라이커(Stryker)를 성공적으로 공격하여 50TB의 데이터가 추출되었고, 직원 개인 장치를 포함하여 회사에 연결된 20만 대 이상의 장치가 삭제했다고 주장했습니다. 미시간에 본사를 둔 스트라이커는 포춘 500대 기업으로, 61개국에서 56,000명의 직원이 근무하며 연간 1억 5,000만 명의 환자에게 서비스를 제공합니다. 외신 '더 리지스터(The Register)'에 따르면, 이번 사태는 현재 진행 중인 미국-이스라엘-이란 분쟁과 연계된 사기업을 직접 겨냥한 최초의 대규모 사이버 공격이 될 것으로 분석됩니다.
스트라이커는 성명을 통해 "사이버 공격(sic)으로 인해 발생한 글로벌 네트워크 장애를 계속 해결하고 있다"고 밝혔습니다. 또한 "현재까지 악성 코드나 랜섬웨어의 징후는 발견되지 않았으며, 상황이 내부 마이크로소프트 환경에만 국한되어 있다"고 덧붙였습니다.
한편, 아일랜드, 호주, 미국에 거주하는 스트라이커 직원들이 레딧(Reddit)을 통해 이 공격에 대해 논의하는 글을 올렸습니다. 일부 직원은 자신들이 관리받는 스트라이커 장치가 오전 3시 30분(EDT)경에 완전히 삭제되었음을 주장했으며, 다른 댓글에서는 스트라이커 네트워크에 연결된 개인 장치 역시 피해를 입어 2단계 인증(two-factor authentication) 정보가 지워지면서 계정 로그인이 불가능해졌다는 내용이 언급되었습니다. 이와 함께, 회사 측은 직원들에게 개인 장치에서 Microsoft Intune, Microsoft Teams, 사내 포털, VPN 등 제거하도록 지시했다고 알려졌습니다.
(참고: Microsoft Intune은 Windows, macOS, iOS, iPadOS, Android, Linux 등 다양한 운영체제의 장치를 관리, 보안, 업데이트 및 모니터링하는 클라우드 기반 통합 엔드포인트 관리 도구입니다.)
이란 해커, 중요 인프라 공격에 대응해 미국 사이버 보안 기관 긴급 경보 발령
지속적인 악성코드 웜인 캐니스터웜(CanisterWorm)은 명확한 이유 없이 특정 시간대를 이용해 이란 관련 기기를 식별하고 삭제하는 행태를 보입니다.
현재 해커들이 스트라이커 시스템에 어떻게 침입했는지는 불분명하지만, 회사는 현재까지 내부 마이크로소프트 환경만 영향을 받았다고 주장하고 있습니다. 하지만 심각한 점은 직원들의 개인 장치까지 스트라이커의 모바일 장치 관리(MDM) 소프트웨어를 통해 피해를 입었다는 사실입니다. O.MG 펜 테스트 케이블 제작자조차도 조직이 개인 데이터에 접근하거나 삭제하겠다는 약속을 한다고 하더라도, 기업들이 개인 장치에 이를 설치하는 것을 허용해서는 안 된다고 X(구 트위터)에서 경고한 바 있습니다. 대부분의 경우 이는 단순한 정책일 뿐이며, MDM 앱은 여전히 해당 기능을 수행할 수 있습니다.
한편, 본 사건은 원격 근무자가 증가하는 환경에서 개인 정보 보호 및 기기 관리의 취약점을 다시 한번 드러내며, IT 보안 시스템 전반에 대한 재점검 필요성을 제기하고 있습니다.