유명 원격 접속 소프트웨어 회사인 팀뷰어(TeamViewer)는 지난 26일 사이버 공격을 받아 기업 환경이 침해되었다고 밝혔으며, 한 사이버 보안 회사는 APT 해킹 그룹에 의한 공격이라고 주장했다.
팀뷰어 측은 "2024년 6월 26일 수요일, 보안팀은 내부 기업 IT 환경에서 비정상적인 활동을 감지했다. 즉시 대응 팀과 프로세스를 가동하고, 세계적으로 유명한 사이버 보안 전문가들과 함께 조사를 시작했으며 필요한 복구 조치를 시행했다."고 전했다.
이어 "팀뷰어 내부 기업 IT 환경은 제품 환경과 완전히 분리돼 있다. 현재 제품 환경이나 고객 데이터가 영향을 받았다는 증거는 없다. 조사는 계속 진행 중이며, 주요 초점은 시스템의 무결성을 보장하는 것"이라고 강조했다.
회사는 이번 침해에 대해 투명하게 공개할 계획이며, 조사의 진행 상황을 지속적으로 업데이트할 것이라고 말했다.
그러나 투명성을 목표로 한다고 말했지만, "팀뷰어 IT 보안 업데이트" 페이지에는 검색 엔진이 문서를 색인화하지 못하게 하는 <meta name="robots" content="noindex"> HTML 태그가 포함되어 있어 해당 문서를 찾기 어렵게 만들었다.
팀뷰어는 사용자가 원격으로 컴퓨터를 제어하고 마치 장치 앞에 앉아 있는 것처럼 사용할 수 있게 해주는 매우 인기 있는 원격 접속 소프트웨어이다. 회사는 현재 제품이 전 세계 64만여 개 이상의 고객들이 사용하고 있으며, 회사 출범 이후 25억 대 이상의 장치에 설치되었다.
비록 팀뷰어는 제품 환경이나 고객 데이터가 침해되었다는 증거가 없다고 말했지만, 소비자 및 기업 환경 모두에서 광범위하게 사용되는 만큼 사용 기업들은 각별히 주의를 기울여야 한다.
이 내용은 IT 보안 전문가 제프리가 네덜란드 디지털 신뢰 센터에서 공유한 경고의 일부를 공유하면서 알려졌다. 네덜란드 정부, 보안 전문가 및 네덜란드 기업들이 사이버 보안 위협에 대한 정보를 공유하는 웹 포털에 공유한 것이다.
"NCC 그룹 글로벌 위협 정보 팀은 APT 그룹에 의해 TeamViewer 원격 접속 및 지원 플랫폼이 심각하게 침해된 사실을 알게 되었다," NCC 그룹의 IT 보안 회사 경고에서 경고했다.
한편 27일 Health-ISAC에서 발표한 경고에서도 러시아 해킹 그룹 APT29, Cozy Bear, NOBELIUM 및 Midnight Blizzard로 알려진 그룹이 TeamViewer 서비스를 적극적으로 표적 삼고 있다고 경고했다.
이어 "Health-ISAC은 비정상적인 원격 데스크톱 트래픽에 대해 로그를 검토할 것을 권장한다. 위협 행위자들이 원격 접속 도구를 활용하는 것이 관찰되었다. 팀뷰어가 APT29와 관련된 위협 행위자들에 의해 악용되고 있음이 관찰되었다"고 경고했다.
APT29는 러시아의 해외정보국(SVR)과 연계된 러시아의 고급 지속 위협 그룹이다. 이 해킹 그룹은 사이버 스파이 능력으로 유명하며 서방 외교관 공격과 최근 Microsoft의 기업 이메일 환경 침해를 포함한 여러 공격과 연관되어 있다.