close

중국 해킹집단 ‘볼트 타이푼’ 논란...특이한 표적 선택과 행동패턴

[AI요약] 중국 정부가 지원하고 있는 것으로 알려진 중국 해킹 네트워크 볼트 타이푼에 대한 논란이 거세지고 있다. 그동안 해킹 집단은 미국 정부 기관 및 단체의 인프라를 표적으로 삶았지만, 최근 침투는 미국의 주요 동맹국인 캐나다, 호주, 뉴질랜드, 영국 등에 영향을 미쳤을 것으로 관측되면서 우려의 목소리가 커지고 있다.

중국해킹집단 볼트 타이푼이 각국의 위협이 되고 있다. (이미지=마이크로소프트)

중국 해킹집단 볼트타이푼이 특이한 표적 선택과 행동 패턴으로 각국의 사이버 공격을 위한 사전 배치를 시도하고 있다.

미국, 유럽 등 각국의 위협이 되고 있는 중국 해킹 네트워크 ‘볼트 타이푼’(Volt Typhoon)에 대해 더가디언 등 외신이 14일(현지시간) 보도했다.

최근 미국과 중국의 관계가 특히 중국이 대만 합병 위협을 가하고 있는 지난 몇 년간 급락하면서 양국간 적대 행위나 전면적 충돌 가능성에 대한 우려가 커지고 있다.

실제로 볼트타이푼으로 알려진 중국해킹 네트워크가 5년 동안 미국의 주요 인프라 내부에 휴면 상태로 있었다는 최근 폭로로 인해 상당한 우려의 목소리가 나오고 있다.

해킹 집단은 미국의 기술 및 보안 약점을 이용한 것으로 알려졌다. 이에 미국과 연합군 정보기관은 해킹 집단이 비밀을 훔치기보다는 미래의 방해 행위에 대비해 사전 배치하는 데 초점을 맞추고 있다고 관측하고 있다.

서방의 정보 당국자들은 볼트타이푼은 수천 대의 인터넷 연결 장치를 손상시킨, 중국 정부의 지원을 받는 사이버 작전으로 보고 있다. 중국 해킹집단은 해군 항구, 인터넷 서비스 제공업체, 통신 서비스 및 유틸리티를 포함한 서부의 주요 인프라에 침투하는데 목적을 두고 있다는 지적이다.

현재 볼트타이푼은 뱅가드판다(Vanguard Panda), 브론즈실루엣(Brronze Silhouette), 데브-0391(Dev-0391), 인시디어스토러스(Insidious Taurus), UNC3236 등으로도 알려져 있다.

크리스토퍼 레이 FBI 국장은 지난주 미국 위원회 청문회에서 “볼트타이푼은 우리 세대의 결정적인 위협”이라고 강조했다. 네덜란드와 필리핀도 최근 중국이 지원하는 해커가 국가 네트워크와 인프라를 표적으로 삼고 있음을 공개적으로 확인한 상태다.

볼트타이푼에 대한 FBI 국장의 발언은 최근 미국 당국이 수백 대의 손상된 디바이스로 구성된 봇 네트워크를 해체했으며, 이를 해킹 네트워크에 소행으로 지목한 이후 나온 것이다.

볼트파이푼은 소형 및 수명이 다한 라우터, 방화벽 및 가상 사설망(VPN)의 취약점을 악용하고 종종 관리자 자격 증명 및 훔친 비밀번호를 사용하거나 정기적인 보안 업데이트가 없는 구식 기술을 활용하는 방식으로 작동한다.

주요 약점은 미국 디지털 인프라에서 확인됐는데, 이는 맬웨어가 새파일을 도입하는 대신 대상 운영 체제의 기존 리소스만 사용하는 LotL(Living off the Land) 공격만 하는 것으로 나타났다. LotL 공격은 해커가 시스템에 기본적으로 설치되어 있는 합법적이고 정상적인 소프트웨어, 기능 등을 이용해 악의적인 작업을 수행하는 공격이다.

지난주 CISA, 국가안보국, FBI가 발표한 보고서에 따르면 볼트타이푼 해커들은 지난 5년 동안 이 액세스 권한을 유지해 온 것으로 파악됐다. 그러나 그동안은 미국 인프라만을 표적으로 삼았지만, 이번 침투는 미국의 ‘파이브 아이즈’ 라고 불리는 동맹국인 캐나다, 호주, 뉴질랜드, 영국에 영향을 미쳤을 가능성이 높은 것으로 관측되고 있다.

특히 미국 당국은 볼트타이푼의 특이한 표적 선택과 행동 패턴이 전통적인 사이버 간첩 활동이나 정보 수집 작전과 일치하지 않는다고 밝혔다.

볼트 타이푼은 대상 운영 체제의 기존 리소스만 사용하는 LotL 공격만 하는 것으로 파악됐다. (사진=마이크로소프트)

마이크로소프트의 합동 보고서에 따르면 해당 중국해커집단은 2021년 중반부터 활동해 왔으며, 괌 및 기타 지역의 미국 인프라를 대상으로 향후 위기 발생시 미국과 아시아 지역 간의 중요한 통신 인프라를 방해할 가능성이 있는 기능 개발을 진행하고 있다는 사실을 발견했다.

중국이 후원하는 해커 집단은 중대한 위기나 미국과의 충돌이 발생할 경우 미국의 중요 인프라에 대한 파괴적인 사이버 공격을 위해 IT 네트워크에 사전 배치를 시도하고 있다는 것이다.

중국은 중국 국가와 연계되거나 지원되는 사이버 공격 및 간첩 행위에 대한 모든 비난을 전면 부인하고 있다. 그러나 베이징의 사이버 간첩 활동에 대한 증거는 미국에서 20년 넘게 축적돼 왔다.

해킹 공격의 광범위한 성격으로 인해 백악관과 여러 통신 및 클라우드 컴퓨팅 회사를 포함한 민간 기술 업계 간의 일련의 회의가 이어졌으며, 미국 정부는 활동 추적에 대한 지원을 요청한 상태다.

현재 해체된 봇넷의 표적이 된 기관과 자산은 지난 1월 CISA로부터 영향을 받은 디바이스와 제품의 연결을 끊으라는 명령을 받았으며, 이를 위해 집중적이고 어려운 치료 프로세스를 시작한 것으로 알려졌다.

젠 이스터리 CISA 국장은 “CISA팀은 항공, 수자원, 에너지 및 교통을 포함한 여러 중요 인프라 부문에서 중국의 침입을 발견했으며, 이후 즉시 이를 차단했다”고 최근 미국학원 위원회 청문회를 통해 밝혔다.

류정민 기자

znryu@daum.net
기자의 다른 기사보기
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지

관련 기사

"AI 보안, 내일 아닌 오늘의 문제...96% 기업이 AI 도입"

그린 사장은 “예전에는 금융 기관과 중요 인프라를 대상으로 사이버 공격이 이뤄진다는 인식이 일반적이었지만, 요즘에는 대학을 비롯해 보건, 통신 등 기술이 적용되는 모든 분야가 타겟이 되고 있다”며 각 기업들이 마주한 사이버 보안 관련 쟁점을 짚기도 했다. 이어 2024년을 ‘메가 브리치(Mega breach, 대량 침해)의 해’라고 규정하며 헬스케어부터 시작해 자동차, 리테일 분야 등에서 짧은 시간 내에 광범위하게 발생한 여러가지 침해 사례를 언급하는 한편, 팔로알토 네트웍스의 대응 역량을 소개하기도 했다.

[인터뷰] 한의선 원더스랩 대표 “AI 구독하지 마세요, 채용하세요”

2021년 LG전자 출신 한의선 대표가 창업한 원더스랩은 이른바 ‘WIS’로 불리는 AI 어시스턴트를 제공하고 있다. 문서업무를 도와주는 AI 서비스 ‘더블유닷(Wdot)’, 이미지 작업을 돕는 ‘아이닷(Idot)’, SNS 작업을 돕는 ‘에스닷(Sdot)’이 그것이다. 흥미로운 점은 원더스랩의 비즈니스 모델이 단순히 AI 어시스턴트를 제공하는데 그치지 않고 있다는 사실이다. 이들이 표방하는 서비스는 SaaS(서비스형 소프트웨어)를 넘어 워크포스(workforce, 인력) 까지 제공하는 ‘하이브리드 서비스(AI+Human Hybrid Work Service)’다.

[CES 2025] ‘포브스 선정’ 가장 ‘쿨’한 기술 TOP 5

CES는 매년 한해의 업계 분위기를 예측할수 있는 최첨단 기술을 선보이는 자리로, 올해 CES 도 예외는 아니었다. 자동차 안에서 돌비 비전(Dolby Vision)으로 콘텐츠를 시청하고, 노트북 스크린을 펼치는 등 여러 가지 기술들이 눈길을 사로잡았다.

테크 억만장자들의 아침 습관·시간관리···베이조스·머스크·샘·저커버그·쿡 등

테크 산업계의 거물들은 아침시간을 어떻게 시작하고 어떻게 관리할까. 부분적으로 괴리가 있을 수는 있지만 일반인들도 큰돈 들이지 않고 시도할 수 있는 방법들이 대부분이다. 분명한 것은 연초부터 자신에게 도움이 되는 방식의 규칙적 습관을 익힐 수만 있다면 반드시 억만장자는 아니더라도 새해에는 지난해보다 뭔가 더 성취할 가능성이 높아지리라는 것이다.아직 새해 1월의 절반도 지나지 않았다. 새로 뭔가를 시도해 보기에 여전히 충분하다.