F5 네트웍스, 국가 지원 해킹 조직에 침투 — BIG-IP 소스코드 및 취약성 문서 유출
글로벌 네트워크·애플리케이션 보안 기업 F5 네트웍스(F5 Networks)가 국가 지원 성격의 해킹 조직에 의해 침투당한 사실이 확인됐다. 이번 공격으로 인해 BIG-IP 소스코드와 미공개 취약성 관련 문서가 외부로 유출되었으며, 사건은 2025년 8월 9일 F5 측에 의해 최초 인지되었다. 미 법무부의 요청으로 공개 시점은 10월로 연기되었으며, 이후 미국 사이버보안·인프라안보국(CISA)이 즉각적인 대응 조치를 취했다.
F5 네트웍스 해킹 사건의 배경
F5 네트웍스는 전 세계적으로 애플리케이션 전달(ADC) 및 보안 분야에서 널리 사용되는 기업으로, 주요 제품인 BIG-IP은 정부 기관과 금융권, 대기업 등 다양한 고객에게 서비스되고 있다. 그러나 최근 수개월간 F5 내부 개발 환경이 국가 지원 해킹 조직에 의해 장기간 침투를 당한 것으로 드러났다.
공격자는 정교한 침투 기술을 통해 F5의 개발·엔지니어링 네트워크에 접근하여 내부 데이터를 탈취했다. 이 과정에서 주요 제품의 코드 일부와 내부 취약점 관련 문서가 외부로 유출된 것으로 파악되었다. 보안 전문가들은 이 공격이 단순한 산업 스파이 수준을 넘어, 국가 차원의 사이버 작전일 가능성이 높다고 평가했다.
F5는 사건 발생 직후 내부 포렌식 조사를 착수했으나, 미 법무부의 요청으로 조사 결과 공개가 지연되었다. 이후 공식 발표가 이루어진 10월에는 이미 일부 정보가 다크웹을 통해 확산된 정황도 보고되었다. 이 사건은 글로벌 보안 공급망의 취약점을 다시금 드러낸 사례로 평가된다.
유출된 소스코드와 미공개 취약성
이번 사건에서 가장 큰 우려는 BIG-IP 소스코드 및 미공개 취약성 문서의 유출이다. BIG-IP는 전 세계 수천 개의 기업·기관에서 사용되는 핵심 보안 플랫폼으로, 코드의 일부가 유출될 경우 공격자가 취약점을 역분석해 새로운 해킹 기법을 개발할 수 있다.
특히 이번에 유출된 문서에는 패치되지 않은 보안 취약점 관련 내부 보고서도 포함된 것으로 전해졌다. 이로 인해 F5 제품을 사용하는 기관들은 잠재적 공격 표면이 노출될 가능성에 직면하게 되었다. CISA는 이를 즉시 경고하고, BIG-IP 사용자들에게 보안 업데이트 및 구성 점검을 긴급히 권고했다.
F5는 피해 확산을 막기 위해 긴급 패치 배포 및 보안 업데이트를 시행 중이며, 고객사에 대해 위험 완화 지침을 제공하고 있다. 또한, 내부 보안 프로토콜을 전면 재검토하여 향후 동일한 유형의 침해를 방지하기 위한 방안을 마련하고 있다.
미 연방 사이버 당국의 대응
미국 사이버보안·인프라안보국(CISA)은 사건 인지 직후 긴급지시(Emergency Directive)를 발효했다. 이는 모든 연방 기관 및 관련 조직이 F5 제품의 보안 구성을 즉시 점검하고, 의심스러운 활동을 탐지할 경우 즉각 보고하도록 요구하는 내용이다.
CISA는 이번 사건을 “공급망 보안 위협의 대표 사례”로 규정하며, 다른 벤더와 협력하여 공격자의 TTPs(전술·기법·절차)를 분석하고 있다. 이 과정에서 유출된 자료가 추가 공격에 활용되지 않도록 위협 인텔리전스 공유 체계를 강화했다.
미 정부는 F5 사건을 계기로 국가 기반시설 보안 강화 정책을 재검토하고 있으며, 국가 지원 해킹 조직의 활동에 대한 국제 공조 수사도 추진 중이다. 이 사건은 단일 기업의 침해를 넘어, 글로벌 보안 공급망 전체의 신뢰 문제로 확산되고 있다.
결론
이번 F5 네트웍스 해킹 사건은 단순한 데이터 유출을 넘어, 글로벌 보안 생태계의 취약성을 드러낸 중대한 사고로 평가된다. 소스코드 유출은 단기적 피해를 넘어, 장기적인 보안 리스크로 이어질 가능성이 높다.
기업과 기관들은 이번 사건을 교훈 삼아, 내부 개발 환경 보안과 공급망 점검을 강화해야 한다. 또한, 보안 솔루션 벤더에 대한 신뢰에만 의존하지 말고, 자체적인 위협 감시 체계와 다층 방어 전략을 구축하는 것이 필요하다.
사이버 공격이 점점 정교해지고 있는 지금, 글로벌 보안 체계는 단일 기업의 방어 수준을 넘어 협력과 정보 공유 기반의 공동 대응 체계로 발전해야 할 시점이다.
댓글 없음:
댓글 쓰기