중국 Volt Typhoon 해커그룹의 해킹으로 중국의 표적과 기술 변화 강조

수십 년 동안 중국 해커들은 서구의 영업 기밀을 대량으로 훔치는 데 주력해 왔으며, 2012년 당시 NSA 국장이었던 키스 알렉산더 장군은 이를 "역사상 가장 큰 부의 이전"이라고 불렀다. 그러나 최근 몇 년 동안 NSA와 독립 전문가들은 중국이 훨씬 더 교묘해졌으며, 일부 최고의 해커들은 사이버 공간을 절도에 사용하는 것에서 미래의 분쟁에 대비하는 데 사용하는 것으로 전술을 바꾸었다고 입을 모았다.

이러한 변화는 지난 달 미국의 중요 인프라, 특히 전략적으로 중요한 괌 섬 주변에서 광범위한 보안 침해가 발생했다는 소식이 전해지면서 분명하게 드러났다. 이것이 임박한 종말의 전조나 점점 더 악화되는 관계의 중대한 붕괴는 아니지만, 전문가들은 이러한 활동이 두 초강대국이 사이버 역량을 사용하여 잠재적인 전면전에 대비하는 일종의 뉴노멀의 무서운 신호라고 Breaking Defense에 말했다.

독립 사이버 전문가인 전략 및 국제 연구 센터의 제임스 루이스는 "중국의 사이버 기술이 향상되었다"며 "중국이 공격적인 정찰을 하는 것은 엔비디아 등의 모든 [화해적인] 내용과는 달리 양국 관계의 현실을 보여준다"고 말했다.

이 해킹은 5월 24일에 처음 발표되었는데, Microsoft는 코드명 "Volt Typhoon"으로 불리는 중국 그룹의 소행이라고 밝혔다. (다른 회사인 SecureWorks는 동일한 해커에 대해 "Bronze Silhouette"라는 코드명을 사용한다.) "Microsoft는 이 볼트 타이푼 캠페인이 향후 위기 상황에서 미국과 아시아 지역 간의 중요한 통신 인프라를 방해할 수 있는 기능 개발을 추구하고 있다고 중간 정도의 자신감을 가지고 평가합니다."라고 회사는 솔직하게 말했다.

같은 날 조금 늦게 미국 국가안보국, 연방수사국, 국토안보부뿐만 아니라 '파이브 아이즈' 정보 공유 네트워크의 다른 회원국인 호주, 영국, 캐나다, 뉴질랜드에서도 다국적 차원의 특별 경고가 발령되었다.

하루 후 카를로스 델 토로 해군 장관은 모호하고 조심스러운 용어로 해군 네트워크가 "영향을 받았다"고 인정했다. (해군 대변인은 "정책상, 그리고 작전 보안상의 이유로 네트워크 상태에 대해서는 언급하지 않는다"며 Breaking Defense의 추가 세부 정보 요청을 거부했다.) 해안 경비대도 해상 운송 업계에 대한 경고에서 위협을 강조했다.

NSA와 파트너들은 "이 활동은 미국 중요 인프라 부문의 네트워크에 영향을 미친다"고 경고하고, 공격자들의 눈에 잘 띄지 않는 '은밀한' 기술을 탐지하기 어렵다는 점을 강조했으며, 감염을 제거하는 방법에 대한 고도의 기술적 조언이 담긴 24페이지의 자료를 발표했다. 다음 날, 초기 발표에서 신중한 태도를 보였던 NSA 사이버 보안 책임자 Rob Joyce는 CNN과의 인터뷰에서 이번 공격이 단순한 스파이 행위가 아니라 "중요 인프라에 대한 사전 포석"이라는 Microsoft의 평가에 동의한다고 말했다.

조이스 국장은 Breaking Defense에 보낸 성명에서 "NSA는 중국의 목표가 향후 분쟁 발생 시 중요 인프라를 교란할 수 있는 능력을 개발하는 것이라는 마이크로소프트의 평가에 동의한다. 이것은 심각한 사건이다. 우리는 모두 국가에 의해 정보 수집이 이루어지고 상업적 스파이 활동이 이루어지는 것을 알고 있지만, 최근의 활동 중 일부는 정보 가치가 없는 것이 분명하다.

"이러한 공격자들이 일반적인 탐지 기술을 회피하고, 지속적으로 액세스하고, 중요 인프라를 악용할 수 있는 위치를 선점하려는 시도를 하고 있다는 점은 심각한 우려 사항입니다."라고 조이스 부사장은 말했다. "중국의 악의적인 공격자들이 중요 인프라에 접근하고 있다는 사실은 용납할 수 없는 일입니다."

사이버 진주만'은 없다

하지만 NSA와 Microsoft의 우려스러운 성명에도 불구하고 분석가들은 대체로 동의한다. 이는 우려할 만한 일이지만 공격이 임박했다는 것을 의미하지는 않다.

"이 해커가 잠재적으로 파괴적이고 파괴적인 목적으로 중요 인프라에 침투하려고 한다고 믿을 만한 충분한 이유가 있습니다."라고 Mandiant Intelligence(현재 Google의 일부)의 수석 분석가인 John Hultquist는 Breaking Defense에 말했다. "이 문제를 매우 심각하게 받아들여야 합니다."

동시에 헐트퀴스트는 당황할 필요는 없다고 경고했다. "중요 인프라에 대한 이러한 종류의 조사는 실제로 상당히 정기적으로 발생하며, 실제로 사고가 임박했거나 실제로 발생할 것이라는 의미는 아닙니다."라고 그는 말했다. "우리는 중국이 이런 일을 하는 것을 본 적이 있습니다. 그렇다고 해서 중국이 공격을 계획하고 있다는 의미는 아니며, 공격에 대비하고 있다는 의미일 뿐입니다."

CSIS의 루이스는 여전히 더 낙관적이었습니다. "이런 종류의 일은 자주 발생하며 공격이 임박했다는 징후는 없었습니다."라고 그는 Breaking Defense에 이메일을 통해 말했다. "이것은 '중국 위협 그룹의 새로운 물결'이 아니라 수년 동안 이 업계에 종사해 온 동일한 중국인"이라는 것이 SecureWorks의 분석입니다.

루이스는 이 특정 위협이 과장되었다고 생각한다. "이 이야기는 Microsoft가 보도 자료를 배포하기로 결정한 이유에 더 가깝다고 생각한다. 사이버 보안은 공연 예술입니다."라고 그는 말했다. "이것은 군사적 분석보다는 홍보의 영역에 더 가깝습니다."

"이것은 한동안 정부 기관에 알려져 있었으며 중국이 괌을 표적으로 삼을 것이라는 것은 놀라운 일이 아닙니다."라고 그는 계속 말했다. "아무것도 아닌 일이 아닙니다... 심각한 것은 맞습니다. 임박한, 아니오. 새로운 것도 아니다. 중국은 수년 동안 우리를 목표로 삼고 있습니다.

"진짜 문제는 방어를 개선하는 것 외에 우리가 할 수 있는 일이 있느냐는 것입니다. 양국이 서로를 해킹하고 있기 때문에 그렇지 않다고 생각합니다."라고 그는 말했다. "미국이 풍선처럼 소란을 피울 수도 있지만, 양측 모두 온도를 낮추기를 원한다고 생각합니다."

긴장 고조, 새로운 기술

최근 공중과 해상에서 일촉즉발의 상황이 벌어지는 등 두 초강대국 간의 긴장은 시간이 지남에 따라 확실히 고조되고 있다. 눈에 잘 띄지 않지만 중국의 사이버 기술은 점점 더 날카로워지고 교묘해지고 있다.

맨디언트의 헐트퀴스트는 볼트 타이푼에 대해 "이들이 사용하는 많은 기법은 최근 2~3년 사이에 수준이 크게 높아진 중국 공격자들이 점점 더 많이 사용하고 있는 것"이라고 말했다.

특히, 볼트 타이푼은 해커가 더 많은 시간과 노력을 들여야 하지만 탐지하기도 훨씬 더 어려운 '현지에서 생활하기'라는 기법을 사용했다. 볼트 타이푼은 데이터를 훔치거나 운영을 방해하기 쉽도록 전용 해킹 도구와 같은 멀웨어를 신속하게 업로드하여 대상 네트워크에 액세스하는 대신, 합법적인 사용자가 이미 설치한 기존 소프트웨어 도구만 사용하여 네트워크에 잠복했다.

훌트퀴스트는 "이들은 이미 내장된 이러한 툴을 사용하여 네트워크에 전파하기 때문에 탐지에 걸리거나 특정 위협 행위자로 식별될 수 있는 어떤 것도 배포하지 않아도 됩니다."라고 설명했다.

"이러한 작업에서 맞춤형 멀웨어를 피함으로써 침입자는 시그니처를 낮추고 탐지를 회피하는 능력을 높일 수 있습니다."라고 NSA의 조이스도 동의했다. "이 공격의 목표는 조용하고 오래 지속되는 침입을 통해 공격자가 장기간에 걸쳐 액세스 권한을 유지할 수 있도록 하는 것입니다."

"중국은 시스템에 무단으로 액세스하고 이러한 네트워크를 악용할 최적의 시기를 기다립니다. 이번 공격도 다르지 않습니다."라고 그는 말했다. "공격자들은 조용히 액세스 권한을 획득하고 탐지를 피하기 위해 특정 전술, 기술 및 절차를 사용하여 정상적인 네트워크 및 시스템 활동과 혼합했습니다. 중국의 침입을 연구하는 업계와 정부 분석가 모두 시간이 지남에 따라 중국의 공격 기법이 개선되고 있음을 인지하고 있습니다. 이것이 바로 우리가 공개적으로 정기적인 사이버 보안 경고를 계속 발행하고, 해외 정보 임무를 통해 얻은 NSA SIGINT 인사이트를 업계에 제공하기 위해 매일 업계와 협력하는 주된 이유입니다."

"우리는 이러한 중요 인프라의 소유자와 운영자가 이러한 행위자를 탐지하고 퇴거시키는 데 도움을 주기 위해 이 지침을 발표했습니다."라고 그는 이어서 설명했다. "우리는 십여 개 이상의 기업, FBI, CISA, 파이브 아이즈 파트너와 협력하여 이러한 행위를 추적하고 근절하기 위해 함께 노력해 왔습니다. 이를 통해 각국 정부가 여러 국가에서 이러한 행위에 대해 더 많은 조치를 취할 수 있도록 동기를 부여하고 힘을 실어주었습니다."