Loading...
반응형

🌍 글로벌 보안 기관이 공개한 ‘중국 사이버 첩보망’

미국 사이버보안 및 기반시설 보안국(CISA), FBI, NSA를 비롯해 캐나다, 영국, 독일, 일본 등
13개국 보안 기관이 공동 권고문을 발표했습니다.
이번 경고는 중국 정부와 연계된 것으로 알려진 Salt Typhoon(일명 Bronze Butler, RedHotel 등다양한 이름으로 추적됨)과
관련된 APT 활동을 전 세계에 공개한 것입니다.

이 권고문은 단순한 해킹 사건을 넘어,
중국이 국가 차원에서 운영하는 전 지구적 스파이 활동을 강조하며,
기업과 정부기관이 즉시 보안 점검과 방어 조치를 취할 것을 촉구했습니다.

⚡ Salt Typhoon, 어떻게 공격하나?

Salt Typhoon은 이미 글로벌 통신 인프라를 공격한 사례로 악명이 높습니다.
이번 권고문에 따르면 이들은 통신사, 정부, 교통, 숙박, 방위 산업 등 핵심 산업을 표적으로 삼아
네트워크 경계 장비(라우터, 방화벽 등)를 집중적으로 노립니다.

공격 기법은 다음과 같습니다.

  1. 공개된 취약점 악용
    • Ivanti Connect Secure (CVE-2024-21887)
    • Palo Alto PAN-OS GlobalProtect (CVE-2024-3400)
    • Cisco IOS XE (CVE-2023-20273, CVE-2023-20198, CVE-2018-0171)
      → 제로데이는 아니지만, 패치가 늦는 환경을 노려 침투
  2. 라우터·방화벽 개조
    • Access Control List(ACL) 수정해 특정 IP 허용
    • 비표준 포트 개방, SSH 서버 활성화
    • 터널링 프로토콜 생성
    • 펌웨어 변조로 장기적 접근 유지
  3. 자격 증명 탈취 및 내부 이동
    • SNMP, SSH를 통한 디바이스 탐색
    • TACACS+ 같은 인증 인프라 공격
    • 패킷 캡처(PCAP)로 ISP 고객 네트워크 감시

결국 Salt Typhoon은 단순히 스파이 행위에 머물지 않고,
장기간 은밀히 숨어들어 필요 시 인프라를 교란할 수 있는 발판을 구축한다는 점이 특징입니다.

🕵️ Salt Typhoon의 전략적 목적

보안 기관들은 중국의 이러한 활동을 두 가지 측면에서 바라봅니다.

  1. 정보 수집
    • 외교·군사·산업 기밀 확보
    • 장기적인 사이버 첩보 활동
  2. 사전 포지셔닝(Pre-positioning)
    • 미래 분쟁이나 정치적 위기 시,
    • 전력망·통신망·교통망 등 핵심 인프라를 교란하거나 마비시키는 용도로 활용

즉, 단순한 데이터 유출이 아니라, 실제 전쟁·외교 압박 수단으로 사이버 무기를 준비하는 움직임입니다.

🔒 방어 권고: 지금 당장 해야 할 일

CISA와 파트너 기관들은 다음과 같은 방어 지침을 내놨습니다.

  • 네트워크 장비 최신 패치 적용 (특히 Ivanti, Palo Alto, Cisco 장비)
  • 라우터·방화벽 구성 변경 모니터링
  • 외부 포트 개방 여부 점검
  • 컨테이너·가상화 환경 무결성 검증
  • 로그 감사 및 위협 헌팅 (SNMP, SSH, TACACS+ 트래픽 패턴 확인)
  • 펌웨어 변조 여부 검사

또한, 공격자들이 오랫동안 은밀히 숨어들 수 있기 때문에,
단순 방어를 넘어 지속적인 위협 헌팅과 행위 기반 탐지가 필요하다고 강조했습니다.

💬 전문가 분석

  • Trey Ford (Bugcrowd CSO):
    “이번 권고문은 중국의 공격 활동을 전 세계에 공개적으로 드러냄으로써, 이들의 작전 비용과 리스크를 높이려는 전략이다.”
  • Frankie Sclafani (Deepwatch 사이버보안 책임자):
    “중국 APT의 활동은 단순한 첩보를 넘어, 인프라에 깊숙이 파고들어 향후 교란·파괴까지 염두에 두고 있다. 이번 권고문은 모든 조직이 지금 당장 대응해야 한다는 강력한 경고다.”

✨ 정리하며

Salt Typhoon을 비롯한 중국 국적 APT들의 공격은 더 이상 특정 산업이나 국가만의 문제가 아닙니다.

  • 전 세계 통신·정부·방위 인프라가 동시에 위협받고 있고,
  • 이들의 목적은 단순 스파이가 아닌 장기적인 교란 준비입니다.

글로벌 보안 기관들이 힘을 합쳐 공동 권고를 낸 것도 그만큼 심각하다는 방증입니다.
🚨 지금 필요한 건 ‘사고 발생 후 대응’이 아니라, 사전 차단과 위협 헌팅 강화입니다.

반응형
저작자표시 동일조건 (새창열림)

'CyberSecurity > Cyber Risk Insights🔐' 카테고리의 다른 글

CrowdStrike, Onum 인수로 차세대 SIEM 업그레이드 🚀  (3) 2025.08.30
CISA, SBOM 2025 가이드라인 발표…투명성 강화지만 현실적 과제 여전  (4) 2025.08.29
"Apple Patches CVE-2025-43300: Sophisticated ImageIO Zero-Day Exploit Targets iOS and macOS Users"  (3) 2025.08.25
🌏 아시아 기업들, 공급망 사이버 보안에 집중하는 이유  (0) 2025.08.20
🕵️‍♂️ ChatGPT 앱 위장한 PipeMagic 백도어, Play 랜섬웨어와 손잡다!  (0) 2025.08.20

티스토리툴바