SolarWinds 건에 관한 업데이트
SolarWinds 보안 침해와 관련하여 JetBrains 고객 여러분께 추가 업데이트를 전해 드립니다. 현 시점에서 어제 게시한 내용을 재차 말씀드리면, 당사는 이번 보안 침해에서 어떤 역할도 하지 않았고, 현재 진행 중인 조사에 관해 아는 바가 없으며, 이 보안 침해를 초래했을 수 있는 TeamCity의 취약점에 관해서도 아는 바가 없습니다.
TeamCity란 무엇이고 뉴스에 보도되는 이유는 무엇입니까?
TeamCity는 당사의 지속적 통합 및 배포 도구로서, 소프트웨어 빌드, 테스트, 선택적 배포를 자동화하는 데 사용됩니다. 현재 이 도구는 일반적으로 자체 호스팅된 독립실행형 애플리케이션의 형태로만 제공됩니다. 즉, 보안 및 액세스 설정을 비롯해 시스템을 설치, 구성, 유지관리할 책임은 최종 사용자에게 있습니다.
지금까지 나온 공개 정보(현재까지 SolarWinds나 정부 기관에서 이 보안 침해에 관한 세부 정보를 당사에 제공하지 않았으므로 당사가 알고 있는 유일한 정보임)에 따르면, SolarWinds에서 발생한 공격은 SolarWinds의 빌드 프로세스를 겨냥한 것으로 보입니다(언론에서는 이를 공급망 공격이라고 함). SolarWinds는 빌드 프로세스에서 다른 도구와 더불어 TeamCity를 사용합니다. 그러나 SolarWinds 대변인의 성명에서도 나오듯이, 현재 보안 침해와 관련하여 TeamCity가 어떠한 역할을 했다는 증거는 없습니다.
“SolarWinds는 여러 회사와 마찬가지로 당사의 소프트웨어 개발을 지원하기 위해 JetBrains 제품인 TeamCity를 사용합니다. 당사는 조사의 일환으로 모든 내부 및 외부 도구를 검토하고 있으며 이는 아직 진행 중입니다.” 또한 “당사는 이번 보안 사고가 TeamCity 제품의 문제와 관련 있다는 어떠한 증거도 발견하지 못했습니다.”라고 SolarWinds 대변인은 밝혔다.
– 월스트리트 저널 인용
TeamCity가 뉴스에 보도된 이유는 SolarWinds가 빌드 프로세스에 사용하는 도구 중 하나라는 사실 때문이라고 생각합니다.
JetBrains 또는 TeamCity에 취약점이 있습니까?
지금까지 TeamCity 또는 JetBrains에 어떤 방식으로든 보안 침해 상황을 초래할 수 있는 취약점이 있다는 사실은 당사에서 확인된 바 없습니다. 또한 당사는 당사 소프트웨어에 대한 감사를 정기적으로 일정대로 실시하고 있을 뿐만 아니라 이제 TeamCity를 대상으로 독립적 보안 감사를 추가로 조직하고 있습니다. 이 제품에서 보안 침해로 이어질 수 있는 취약점이 발견되면 문제를 완전히 투명하게 밝히고 당사의 보안 및 개인정보보호정책에 따라 고객에게 알려 드리겠습니다.
또한 당사 내부에서 SolarWinds Orion 또는 해당 회사의 기타 소프트웨어를 전혀 사용하지 않는다는 사실도 언급드리는 것이 좋을 것 같습니다.
이 문제로 인해 JetBrains의 IDE 및 기타 도구도 영향을 받습니까?
당사의 IDE는 독립실행형 도구로서, 당사가 IDE 빌드를 위해 자체 설치한 TeamCity를 사용한다는 사실 외에는 TeamCity와 아무런 관련이 없습니다. 당사는 당사의 서버 또는 독립실행형 도구가 변조되었음을 나타내는 증거를 찾지 못했으며, TeamCity의 경우와 마찬가지로 당사 도구 및 시스템에 대해 정기적 보안 감사를 진행합니다.
JetBrains 도구를 사용해도 안전합니까?
SolarWinds의 자체 인용 글이나 FBI의 조사를 참조한 기사를 비롯해 지금까지 보도된 어떤 기사에서도 TeamCity가 빌드 프로세스에 대한 무단 액세스를 허용할 수 있는 취약성 또는 백도어를 안고 있다는 증거를 제시하지 못했습니다.
즉, 당사의 도구에 문제가 있을 수 있다는 믿을 만한 사실이나 증거가 없으므로 당사의 도구를 계속 사용해도 위험해질 일은 없을 것입니다.
SolarWinds 관련 조사가 조속히 마무리되어 당사 도구와 당사에 대한 왜곡이 모두 바로 잡히기를 바랍니다. 또한 당사는 모든 정부 기관 및 보안 조사원과 전적으로 협력할 것임을 다시 한 번 밝히는 바입니다.
20년이 넘게 고객을 투명하고 정직하며 진실하게 대하자는 원칙을 근간으로 삼아온 JetBrains에게, 당사의 평판을 훼손하고 고객에게 의심을 불러일으키는 근거 없는 주장을 보는 것은 무엇보다 가슴 아픈 일입니다.
여러분이 보여주신 성원에 깊이 감사드리며, 진척 사항이 있으면 계속 업데이트해 드리겠습니다.
감사합니다.
최고 경영자
Maxim Shafirov