애플리케이션 보안 기업 F5는 자사 핵심 제품인 BIG-IP 플랫폼의 소스 코드 일부와 비공개 취약점 정보가 소위 '국가 지원 해커'로부터 유출됐다고 미국 증권거래위원회(SEC)에 보고했다. 이 사건은 지난 8월 9일 최초 탐지됐으며, 현재까지 F5는 외부 사이버보안 전문가 및 연방 수사기관과 협력해 대응 중이다.

조사에 따르면 이번 침해는 한두 번의 침입이 아닌, 오랜 기간에 걸친 지속적인 접근이었다. 해커는 BIG-IP 개발 환경과 엔지니어링 지식관리 시스템 일부에 장기간 침입해 소스 코드와 미공개 보안 취약점을 포함한 파일을 외부로 가져간 것으로 파악됐다. BIG-IP는 기업 및 공공기관에서 네트워크 트래픽 관리, 부하 분산, 보안 관리 분야에서 광범위하게 쓰이는 시스템이기 때문에 이번 유출은 업계 전반에 충격을 주고 있다.

F5는 이번 사건과 관련해 현재까지 자사 소프트웨어 공급망, 소스코드, 빌드 및 배포 환경에는 위변조 징후가 없다고 밝혔다. 또 고객 데이터를 다루는 CRM, 재무, 지원 시스템 및 iHealth 도구 등에서도 데이터 유출의 정황은 발견되지 않았다고 덧붙였다. 단, 탈취된 자료 중 일부에는 일부 고객의 설정 또는 구현 관련 정보가 포함돼 있어 파장이 예상된다.

미국 사이버안보 및 기반시설 보안국(CISA)은 사건 직후 비상 지침을 발표하고 연방기관들에 F5 BIG-IP 장비의 현황을 파악한 뒤, 인터넷을 통해 외부에 노출된 관리 인터페이스가 있는지 확인하고 F5가 배포한 보안 업데이트를 즉각 적용할 것을 명령했다. CISA는 해당 취약점을 악용하면 공격자가 인증정보와 API 키를 탈취하고, 조직 내부를 가로지르며 지속적인 시스템 무단 접근을 가능하게 할 수 있다고 경고했다.

영국 국가사이버보안센터(NCSC) 역시 비슷한 권고를 내놨으며, 민간 기관들에게도 모든 F5 제품을 파악해 인터넷으로부터의 격리를 신속히 수행할 것을 당부했다. 이에 F5는 BIG-IP, F5OS, BIG-IP Next, BIG-IQ, APM 클라이언트 등 전 제품군에 걸쳐 보안 패치를 출시했으며, 모든 고객에게 조속한 업데이트 적용을 권장하고 있다.

또한 F5는 위협 탐지 강화를 위한 정책으로 새로운 인텔리전스 자료와 운영 가이드를 배포하고 있다. 강화된 진단 도구인 iHealth를 통해 보안 구조의 취약 포인트를 자동으로 식별하고 대응 방안을 안내하며, 별도의 위협 헌팅 가이드도 고객 지원 채널을 통해 제공한다.

사이버 위협 분석 전문기업 팀 사이머리(Team Cymru)의 최고 기술 책임자인 윌 백스터는 “이번 사건은 현대의 사이버 공격이 얼마나 깊숙이 소프트웨어 개발 주기를 겨냥하고 있는지 다시 한번 보여주는 사례”라며 “소스코드 저장소와 빌드 환경을 노리는 공격은 단기적 피해보다 장기 정보 수집을 핵심 목표로 삼고 있다”고 지적했다. 이어 그는 “외부 위협 인텔리전스와 내부 데이터 흐름을 긴밀히 연계할 경우 조기 탐지와 방어에 효과를 거둘 수 있다”고 강조했다.

이번 사태는 단순한 해킹 사건을 넘어, 미래 사이버 보안 전략에서 지능형 지속 위협(APT) 대응의 중요성을 일깨우는 경고장이 되고 있다. 전문가들은 소프트웨어 개발단계부터 공급망 전반에 걸친 보안을 강화해야 할 때라고 입을 모으고 있다.