요즘 보안업계에 다시금 경고등이 켜졌습니다.
그 이유는, 무려 16개월 전에 패치된 취약점이 여전히 활용되어 실제 캐나다 통신사 네트워크가 침해되었기 때문이에요. 😨
이번 사건의 주범은 중국 정부와 연계된 것으로 보이는 APT 그룹 'Salt Typhoon'.
그들은 Cisco 장비의 치명적인 취약점(CVE-2023-20198)을 활용해 캐나다 통신사 내부 네트워크에 침입하고, GRE 터널을 구축하여 트래픽을 수집한 것으로 알려졌습니다.
🕵️♂️ Salt Typhoon, 누구인가?
Salt Typhoon은 중국 정부의 지원을 받는 것으로 알려진 사이버 공격 그룹 중 하나입니다.
이들은 과거에도 미국의 주요 통신사인 Verizon, AT&T 등을 해킹한 전력이 있어요.
해당 그룹은 정치적/군사적 정보 탈취는 물론, 감청 시스템에 대한 접근 시도 등
국가 단위 스파이 행위를 수행하고 있는 고도로 조직화된 공격자들입니다.
🐛 CVE-2023-20198 – 취약점 설명
이 취약점은 Cisco의 네트워크 운영체제인 iOS XE에 존재하는 **최고 심각도(10점 만점)**의 취약점입니다.
- 대상: HTTP/HTTPS 기능이 켜진 Cisco 스위치, 라우터, 무선 LAN 컨트롤러
- 영향: 인증 없이 전체 설정 파일 획득 가능
- 악용 결과: 백도어 설치, 터널링, 데이터 중간 탈취
Cisco는 이 취약점을 2023년 10월에 패치했으며,
보안업체 VulnCheck가 이를 공격 가능성 높은 상태로 경고한 이후에도
실제 침해 피해가 계속되고 있었습니다.
📡 캐나다 침해 사건 개요
2025년 2월경, 캐나다 내 모 통신사의 네트워크 장비 3대가 침해되었습니다.
해커들은 앞서 언급한 CVE-2023-20198을 활용해 장비 설정을 조회하고,
GRE 터널을 구성해 네트워크 트래픽을 외부로 유출시킨 정황이 포착됐습니다.
이는 단순한 네트워크 스캔이 아닌 정교한 스파이 작전의 일환으로 분석되고 있어요.
캐나다 사이버 보안센터(Cyber Centre)와 미국 FBI는 공동으로
“이 공격은 거의 확실하게 중국의 국가 차원 행위로 보인다”고 발표했습니다.
🧩 Salt Typhoon의 추가 공격 방식
Cisco는 추가적으로 다음 취약점들도 Salt Typhoon이 악용했다고 밝혔습니다:
- CVE-2018-0171: 오래된 Cisco Smart Install 취약점
- CVE-2023-20273: 설정 권한 우회 가능성
- CVE-2024-20399: 2024년 11월에 패치된 신형 취약점
이처럼 Salt Typhoon은 패치된 오래된 취약점부터 최신까지 모두 종합적으로 악용하고 있어요.
이는 ‘하나만 뚫는 게 아니라, 가능한 모든 경로를 열어두려는 전략’이라 볼 수 있습니다.
⚠️ 문제는 패치 미비!
정말 놀라운 건 이 취약점이 2023년 10월에 패치되었음에도
2025년 2월까지 여전히 방치된 장비가 있었다는 사실입니다.
해커들이 해당 장비에 접근해 설정 파일을 훔치고, 내부에 백도어를 설치하고,
트래픽을 수집했음에도 기기 자체는 정상처럼 작동 중이었기에 탐지조차 어려웠습니다.
이건 단순히 공격자의 정교함 때문만이 아니라,
기업 내부 보안 체계의 허술함도 큰 요인으로 작용한 것이죠.
🔐 GRE 터널이란?
GRE(Generic Routing Encapsulation) 터널은 말 그대로
하나의 네트워크 트래픽을 다른 트래픽 안에 캡슐화하여 전송하는 기술입니다.
즉, 해커가 장비 내부에 GRE 터널을 구성했다는 것은,
다른 내부 장비들의 트래픽을 몰래 외부로 빼내는 통로를 만든 셈이에요.
이러한 터널링은 정상적인 트래픽처럼 보이기 때문에
일반적인 방화벽이나 IDS에서 탐지하기 어렵습니다.
📉 왜 이런 일이 반복될까?
- 패치 적용 지연
- 대부분의 조직은 “업데이트하면 서비스 끊길까봐” 우선순위를 낮게 둡니다.
- 하지만 보안은 가용성보다도 우선시되어야 할 사안이에요.
- 가시성 부족
- 내부 네트워크 장비가 실제로 어떤 취약점에 노출되어 있는지 제대로 모니터링하지 않음
- 사후 대응 중심의 보안
- 사고가 터져야 보안팀이 움직이는 ‘사후 대응’ 구조
🛡️ 앞으로의 대응 전략은?
✅ 1. 취약점 관리 자동화
- 취약점 데이터베이스(CVE)를 실시간으로 모니터링
- 패치 적용 여부를 주기적으로 점검
✅ 2. 네트워크 트래픽 분석
- GRE, DNS 터널링 등 의심 흐름 탐지 룰 적용
- 비정상 설정 파일 접근 이벤트 경고 설정
✅ 3. 공급망 보안 점검
- 외부에서 공급받은 장비가 어떤 펌웨어 버전을 쓰는지 확인
- 공급업체가 보안 업데이트를 책임지는 SLA 점검
✨ 마무리하며
이번 캐나다 통신사 해킹 사건은 단순한 기술적 침해를 넘어
국가 안보와 통신 주권을 위협하는 스파이 행위였습니다.
그리고 그 시작은 이미 알려지고, 패치까지 제공된 오래된 취약점의 방치였죠.
우리는 이 사건을 통해 다시금 깨달아야 합니다.
👉 패치를 게을리한 단 하나의 장비가, 전체 조직을 위험에 빠뜨릴 수 있다는 점을요.
'CyberSecurity > 해외🌍' 카테고리의 다른 글
| 🐍 Snake Keylogger, 정교해진 러시아발 사이버 위협…이번 타겟은 석유 산업! (0) | 2025.07.02 |
|---|---|
| 😈 가짜 설치파일로 몰래 침투! Silver Fox 해킹 그룹의 RAT + 루트킷 공격 전술 (3) | 2025.06.30 |
| 💥 중동 사이버전 격화! 35개 친이란 해커조직, 이스라엘 전방위 타격 선언 (1) | 2025.06.22 |
| 🛡️ Aflac 해킹 사건부터 빅브랜드 사이버 위협까지 – 보험·유통업계가 흔들린다! (6) | 2025.06.22 |
| 📰 워싱턴포스트 기자 이메일 해킹 사건: 언론의 자유와 보안이 만나는 최전선 (4) | 2025.06.17 |