13개국 정보 기관, 중국 해커조직 ‘솔트 타이푼’ 확산 경고

광범위한 활동을 벌여온 중국 해커 조직 ‘솔트 타이푼(Salt Typhoon)’이 최근 네덜란드를 새로운 공격 대상으로 삼고 있다. 네덜란드 정보 당국은 솔트 타이푼이 소규모 인터넷 서비스 및 호스팅 사업자의 라우터에 접근한 사실을 확인했다고 밝혔다.

이 사실은 13개국 정보 기관이 고스트엠퍼러(GhostEmperor), 오퍼레이터 판다(Operator Panda), 레드마이크(RedMike) 등으로도 알려진 솔트 타이푼의 위험성에 대해 경고를 발령한 직후 확인됐다. 또한 이 그룹이 영국에서도 활동하고 있다는 사실도 드러났다. 전문가들은 이번 공격이 공공·민간 부문 모두에서 사이버 보안 대응이 여전히 미흡하다는 점을 보여준다고 지적했다.

보세론 시큐리티(Beauceron Security)의 데이비드 시플리는 “핵심 인프라, 가령 코어 라우터 같은 네트워크 기술이 여전히 너무 쉽게 침투당하고 장악될 수 있다는 점이 근본적인 문제”라며 “중국의 잇따른 공격 성공은 결국 설계 단계부터 안전이 부족한 구조가 초래한 결과”라고 말했다.

핵심 인프라와 민감한 통신 겨냥

최근 미국, 영국, 캐나다, 호주, 뉴질랜드, 핀란드, 독일, 이탈리아, 체코, 일본, 폴란드, 스페인, 네덜란드 등 13개국 정보 기관은 공동으로 솔트 타이푼에 대한 사이버 보안 권고문을 발표했다.

솔트 타이푼은 최근 몇 달간 AT&T, 버라이즌(Verizon), T-모바일(T-Mobile), 루멘 테크놀로지스(Lumen Technologies), 차터(Charter), 콘솔리데이티드(Consolidated), 윈드스트림 커뮤니케이션즈(Windstream Communications) 등 미국 주요 통신사와 ISP를 침해한 바 있다. 또한 미국 주방위군(National Guard)을 9개월 동안 해킹해 모든 주의 네트워크에 침투했으며, 그 과정에서 자격 증명, 개인정보, 네트워크 다이어그램을 탈취했다.

각국 정부는 이 그룹의 활동 배후에 중국 인민해방군(PLA)과 국가안전부(MSS)를 지원하는 복수 기관이 연계돼 있다고 지목했다. 글로벌 당국은 또한 이번 공격의 배후에 중국 정보기관에 ‘사이버 관련’ 서비스를 제공하는 중국 내 기술 기업 3곳이 있다고 밝혔다. 이들 기업은 IT 기업, 데이터 브로커, 용병 해커가 얽힌 더 큰 상업적 생태계에 속한 것으로 파악됐다.

정보기관이 지속적 위협 행위자(Advanced Persistent Threat, APT)로 분류한 공격자들은 미국과 영국뿐 아니라 캐나다, 호주, 뉴질랜드에서도 활동을 이어온 것으로 나타났다.

네덜란드 정보 기관은 자국 내 표적이 된 기업들이 다른 국가 사례와 달리 대형 통신사는 아니었다고 언급했다. 또 이번 공격이 광범위하거나 과거 사례만큼 심각하지는 않은 것으로 보인다고 설명하면서, 솔트 타이푼이 라우터에 접근한 뒤 해당 기업의 내부 네트워크까지 추가 침투한 정황은 확인되지 않았다고 밝혔다.

네덜란드 군사정보보안국(MIVD)과 일반정보보안국(AIVD)은 보고서에서 “네덜란드 기업들은 미국과 비교했을 때 솔트 타이푼 해커들의 집중적인 공격 대상이 되지 않은 것으로 보인다”라고 설명했다. 당국은 또한 피해 기업과 ‘기타 관련 기관’에 위협 정보가 공유됐다고 덧붙였다.

이반티·팔로알토 네트웍스·시스코 취약점 악용

솔트 타이푼은 2021년부터 활동을 이어오며 전 세계 통신, 교통, 정부, 군사 분야 핵심 인프라를 집중적으로 노려왔다. 특히 영국 국가사이버보안센터(NCSC)에 따르면, 최근 영국에서 활동이 집중된 정황이 관찰됐다.

이 그룹은 제로데이 취약점이나 특수 제작된 악성코드에 의존하기보다, 이미 알려졌지만 패치가 적용되지 않은 ‘n-day’ 취약점을 활용해 상당한 성과를 거뒀다. 공격 대상은 보안 장비, 라우터 등 네트워크 경계 장비와 가상 서버(VPS)였으며, 특히 이반티(Ivanti) 커넥트 시큐어 및 폴리시 시큐어, 팔로알토 네트웍스(Palo Alto Networks) PAN-OS 글로벌프로텍트(GlobalProtect), 시스코(Cisco) IOS 및 IOS XE에서 발견된 취약점을 집중적으로 악용했다.

이후 공격자는 침해된 장비와, 사업자 간 또는 사업자-고객 간 링크 같이 신뢰할 수 있는 사설 연결망을 발판으로 삼아 다른 네트워크로 침투 범위를 확대했다. 당국에 따르면, 이들의 활동은 네트워크에 대한 장기적이고 지속적인 접근 권한 확보를 특징으로 한다.

주요 표적

구체적으로 솔트 타이푼은 다음과 같은 자산을 집중적으로 노린 것으로 파악됐다.

• 비밀번호, 사용자 콘텐츠, 고객 기록, 자산 목록, 장비 구성 및 파일, 벤더 목록
• 라우터 인터페이스
• 전송 중인 네트워크 트래픽, 자원예약 프로토콜(RSVP) 세션, 경계 게이트웨이 프로토콜(BGP) 경로
• 원격 네트워크 사용자에게 권한을 부여하고 인증하는 인증 프로토콜 및 RADIUS(Remote Authentication Dial-In User Service)
• 관리 정보 기반(MIB) 등 관리용 데이터베이스

영국 NCSC는 “이 같은 활동을 통해 탈취된 데이터는 중국 정보기관이 전 세계에서 특정 대상의 통신과 이동을 식별 및 추적하는 역량을 제공할 수 있다”라고 경고했다. 이에 따라 글로벌 위협 정보 기관들은 기업이 구성 변경, 가상화 컨테이너, 네트워크 서비스와 터널, 펌웨어와 소프트웨어 무결성, 로그 등을 광범위하게 모니터링해야 한다고 권고했다.

대응 권고

당국은 조직에 다음과 같은 보안 조치를 취할 것을 권장했다.

• 네트워크 장비, 라우터, 로그, 구성을 정기적으로 점검해 예기치 않거나 승인되지 않은, 비정상적인 활동을 탐지
• 장비 구성의 정기적 감사를 포함한 강력한 변경 관리 프로세스 도입
• 관리 인터페이스에서 외부 연결 차단
• 기본 관리자 자격 증명 변경
• 관리자 역할에는 공개키 인증을 필수화
• 패스워드 인증 비활성화
• 벤더가 권장하는 최신 네트워크 장비 운영체제 버전 사용 및 업데이트 유지

“기술판 기후 위기”

시플리는 솔트 타이푼 같은 대규모 공격이 이어지는 이유에 대해, 네트워크 기술 대기업들이 강력한 인증 체계와 복원력을 설계할 동기가 부족하기 때문이라고 지적했다.

시플리는 “더 안전한 디지털 경제를 구축하는 비용은 기업들이 ‘너무 늦기 전까지’ 감당하려 하지 않는다. 인터넷과 기업 네트워크는 여전히 1990년대 방식으로 작동하고 있다. 이는 글로벌 경제와 사회의 디지털 신경망 역할을 해야 하지만 현실은 그렇지 못하다”라고 설명했다.

그는 이어 “이 문제는 기술판 기후 위기와 같다. 심각성을 아는 이들이 많지만 해결의 가치를 제대로 평가하지 않고 있으며, 국제적 합의가 필요한 사안이지만 실제 행동으로 이어지기가 거의 불가능한 상황”이라고 말했다.
dl-ciokorea@foundryco.com