중국 해커 그룹 Salt Typhoon, 미국 통신사 3년간 침투…APT 공격의 새로운 위협

by

중국 해커 그룹, 미국 통신사 대상 3년간 잠복 공격

최근 Cisco가 발표한 보안 보고서에 따르면, 중국 해커 그룹 'Salt Typhoon'이 미국 주요 통신사를 대상으로 한 사이버 공격을 최소 3년간 지속해온 것으로 드러났습니다. 이번 공격은 네트워크 장비 취약점을 악용하고, 유출된 로그인 정보를 활용해 오랜 기간 침투에 성공한 것으로 분석됩니다.

Salt Typhoon의 공격 방식

Salt Typhoon은 네트워크 장비를 통해 공격의 기반을 다진 뒤, 신뢰할 수 있는 시스템을 경유하여 추가적인 침투를 시도하는 'Living-off-the-Land (LOTL)' 기법을 사용했습니다. 이들은 특히 Cisco 장비의 Smart Install (SMI) 프로토콜 취약점(CVE-2018-0171)을 악용하여 초기 접근을 확보한 후, 훔친 인증 정보를 활용해 네트워크에 오랜 기간 잠복했습니다.

Cisco Talos에 따르면, Salt Typhoon은 장기적인 정보 수집 및 내부 네트워크 이동을 위해 SNMP, TACACS 및 RADIUS 트래픽을 감청하고, 이를 통해 추가적인 계정 정보를 획득하는 등 매우 정교한 전략을 구사했습니다.

침입 후 장기 잠복 전략

Salt Typhoon은 장기간 네트워크 내에서 탐지를 회피하기 위해 다양한 방법을 동원했습니다.

1. 자체 제작 해킹 툴 'JumbledPath' 활용

이들은 원격 Cisco 장비에서 패킷 캡처를 수행할 수 있는 **Go 기반의 ELF 바이너리, 'JumbledPath'**를 사용했습니다. 이 프로그램은 패킷 캡처뿐만 아니라, 로그 삭제 기능도 포함되어 있어 포렌식 분석을 방해하는 역할을 했습니다.

2. SSH 접속 경로 변조

또한, 공격자는 네트워크 내 이동성을 극대화하기 위해 변조된 루프백 인터페이스를 사용하여, 보안 장비의 접근 통제를 우회하며 추가적인 대상 시스템에 접근했습니다.

3. 시스템 변경을 통한 지속적인 접근 유지

Salt Typhoon은 로컬 계정 추가 및 Guest Shell 접근 활성화 등을 활용하여 원격 접근을 지속할 수 있도록 환경을 조작했습니다. 이에 따라, 공격자는 시스템 내부에서 강력한 장악력을 확보할 수 있었습니다.

실제 사례: 대규모 네트워크 침해

이번 공격이 특히 심각한 이유는, 단순한 일회성 침해가 아닌 지속적인 APT(Advanced Persistent Threat) 공격이기 때문입니다. Cisco에 따르면, 일부 피해자는 최소 3년 이상 Salt Typhoon의 통제 하에 있었던 것으로 확인되었습니다.

이 공격은 단순한 취약점 악용이 아니라, 초기 침입 후 네트워크 내 다양한 장비를 경유하며 공격을 지속적으로 확장하는 전략을 사용했습니다. 따라서, 전통적인 방어 체계로는 감지하기 어려운 수준이었습니다.

대응 방안 및 보안 권장 사항

이번 사례를 통해 기업 및 기관들이 취해야 할 주요 보안 조치는 다음과 같습니다.

1. 취약점 점검 및 긴급 패치 적용

Cisco의 Smart Install 기능을 사용 중인 경우, CVE-2018-0171 패치를 즉시 적용하는 것이 필수적입니다.
또한, 계정 정보 보호 및 강력한 인증 정책(예: 2단계 인증)을 적용해야 합니다.

2. 네트워크 트래픽 모니터링 강화

SNMP, TACACS 및 RADIUS 트래픽 감시 시스템을 구축하고, 이상 접근이 감지될 경우 즉각 차단해야 합니다.

3. 원격 접근 관리 강화

불필요한 원격 접속 계정을 삭제하고, 관리자 계정에 대한 최소 권한 원칙(Principle of Least Privilege, PoLP)을 적용하여 악성 행위를 사전 차단해야 합니다.

4. 로그 보존 및 위변조 감지 강화

공격자들은 흔적을 지우기 위해 로그 삭제 및 변경을 시도할 가능성이 높습니다. 따라서, 로그 저장을 중앙화하고 변경 감지 시스템을 구축함으로써 불법적인 로그 조작을 감지할 수 있도록 해야 합니다.

마무리

이번 Salt Typhoon의 공격 사례는 단순히 '하나의 해커 그룹이 미국 통신사를 공격했다'는 수준이 아닙니다.
국가 지원 해킹 그룹이 오랜 시간에 걸쳐 시스템을 장악할 수 있으며, 보안 대응 체계가 미비할 경우 장기적으로도 탐지되지 않을 수 있다는 점을 보여주는 심각한 사례입니다.

기업 및 기관들은 정기적인 취약점 점검과 네트워크 모니터링, 그리고 보안 정책 강화를 통해 이와 같은 APT 공격을 예방해야 합니다.

지금도 어딘가에서 Salt Typhoon과 같은 해커 그룹이 새로운 취약점을 찾아 움직이고 있을지 모릅니다.
이제는 기업의 네트워크 보안이 선택이 아닌 필수라는 점을 다시 한번 되새겨야 할 때입니다. 🚨

추가적으로 유사한 보안 위협에 대한 더 많은 정보가 궁금하다면, 최신 보안 보고서를 꾸준히 살피고, 산업 내 보안 컨퍼런스를 참고하는 것도 좋은 방법입니다. 💡

Leave a Comment