🔎 미국 전력망을 노린 중국 해커 그룹 'Volt Typhoon'의 공격! 🚨⚡

2023년, 중국 APT 해커 그룹 'Volt Typhoon'이 미국 매사추세츠주의 전력 회사를 공격하는 사건이 발생했습니다.
이들은 전력망 운영 기술(OT) 데이터 탈취를 목적으로 장기간에 걸쳐 공격을 진행했으며,
이는 미국 전력 회사에 대한 첫 번째 알려진 공격 사례입니다.

---

🕵️ Volt Typhoon, 어떤 그룹인가?

Volt Typhoon은 중국과 연계된 해커 그룹으로,
주로 미국의 주요 인프라 및 통신망을 표적으로 삼는 APT(Advanced Persistent Threat) 공격 조직입니다.

• 2023년에는 미국 통신사들을 집중적으로 해킹하며 악명을 떨쳤으며,
• 군사 기지 및 비상 관리 조직까지 침투한 정황도 발견되었습니다.
• 이들은 감시를 피하기 위해 일반적인 소규모 사무실·가정용(SOHO) 라우터를 해킹해 봇넷을 구축하는
  방식을 사용합니다.

---

⚡ 미국 전력 회사(LELWD)를 겨냥한 공격

Volt Typhoon의 하위 그룹인 Voltzite는 매사추세츠주 Little Electric Light and Water Departments(LELWD)를 대상으로
장기간의 공격을 감행했습니다.

🔔 공격 타임라인
📅 2023년 11월 금요일 – FBI가 LELWD의 부총괄 매니저인 David Ketchen에게 전화를 걸어 해킹 의심을 알림.
📅 다음 월요일 – FBI 및 미국 사이버 보안·인프라 보안국(CISA) 요원이 직접 현장에 출동해 조사 진행.

이 과정에서 보안 기업 Dragos도 함께 조사에 참여했으며,
Voltzite가 무려 300일 이상 LELWD 네트워크에 잠복하고 있었음이 밝혀졌습니다. 😨

---

🎯 해커들의 목표는?

Volt Typhoon은 단순한 데이터 탈취를 넘어서 미래의 공격을 위한 기반을 다지는 것이 주된 목적이었습니다.

💡 노린 데이터 유형:
✅ 전력망 운영 기술(OT) 관련 운영 절차
✅ 전력망 인프라의 공간 레이아웃 데이터

Dragos의 분석에 따르면, 해커들은 전력망의 정확한 취약 지점을 파악해 추후 실제 OT 시스템을 무력화할 가능성이
크다고 합니다.

---

🛠️ 공격 방식 및 대응

🔍 해커들의 침투 기법:

• 서버 메시지 블록(SMB) 트래버설 공격
• 원격 데스크톱 프로토콜(RDP) 이동

이러한 기법은 네트워크 내에서 공격자를 숨길 수 있도록 도와주며, 감시를 어렵게 만듭니다.

🚨 대응 조치:
FBI와 Dragos는 Dragos의 OT Watch 플랫폼을 활용하여 침입 경로를 추적하고,
공격자를 네트워크에서 완전히 제거했습니다.

• 네트워크 보안 아키텍처를 변경하여 해커가 수집한 정보를 무력화
• OT 보안을 강화하여 향후 유사 공격을 예방

---

🔮 Volt Typhoon의 추가 공격 가능성

⚠️ Dragos는 Volt Typhoon과 Voltzite가 앞으로도 미국 및 서방 국가들의 중요 인프라를 지속적으로 노릴 것으로
     예측하고 있습니다.

• 이들은 VPN 및 방화벽의 취약점을 악용하여 초기 침투를 시도합니다.
• 기존에 존재하는 합법적인 네트워크 도구를 사용해 탐지를 피하는 전략을 구사합니다.

✅ 보안 권장 사항
💾 패치 관리 철저 – 인터넷에 노출된 VPN 및 방화벽을 최신 상태로 유지
🔍 네트워크 트래픽 모니터링 – 비정상적인 내부 이동 경로를 감지
🔐 계정 활동 분석 – 일반 직원 계정을 이용한 수상한 행동을 식별

🚨 전력 및 인프라 보안 담당자들은 Volt Typhoon의 공격 패턴을 이해하고 대비해야 합니다.