중국의 볼트 타이푼 캠페인이 전이되고 있다고

중국 해커들이 미국의 중요 인프라에 침입하는 데 사용한 손상된 인터넷 장비 클러스터를 분쇄한 미국의 작전은 정보 커뮤니티에 빠르게 진화하는 사이버 도전의 시작에 불과했다.

크리스토퍼 레이 FBI 국장은 1월의 유명한 청문회에서 법원의 허가를 받아 사이버 요원들이 카메라와 라우터 등 체인으로 연결된 장비의 디지털 실체인 KV-봇넷을 비활성화했다고 발표하면서, 이 그룹이 중국과 미국의 군사 충돌에 대비해 조용히 주요 인프라로 침투하는 데 사용되는 데이터 전송 네트워크인 '볼트 타이푼'을 구축했다고 의원들에게 공개적으로 말했다.

이 그룹의 활동은 상당히 느려졌지만, KV 봇넷은 많은 준비 장소 중 하나에 불과했다. 중국 국가 당국을 대신해 활동하는 것으로 추정되는 볼트 타이푼은 현재 여러 비밀 네트워크를 사용하고 있어 이 단체를 완전히 차단하는 것은 불가능해 보인다고 샌프란시스코에서 열린 RSA 컨퍼런스에서 관계자들은 기자들에게 말했다.

이 소식은 최근 2주 전 중국을 방문한 국무부의 사이버 공간 및 디지털 정책 담당 대사인 나다니엘 픽과 앤서니 블링큰 국무부 부장관이 상하이와 베이징의 중국 관리들에게 볼트 타이푼의 활동이 비등점에 도달했다고 말한 후 나온 것이라고 픽은 컨퍼런스에서 별도의 브리핑을 통해 기자들에게 말했다.

픽은 글로벌 인터넷 생태계 파트너 간의 '디지털 연대'에 초점을 맞춘 새로 공개된 글로벌 사이버 공간 및 디지털 정책 청사진을 언급하며 중요 기반시설에 대한 침해는 "프레임워크의 정신에 위배된다"고 말했다.

"블링큰 장관은 미국의 핵심 인프라, 특히 민간 핵심 인프라를 위험에 빠뜨리는 것은 매우 위험하다는 점을 분명히 했습니다. 그것은 에스컬레이션입니다. 용납할 수 없는 일입니다."라고 그는 말했다.

국내에서는 볼트 타이푼을 완전히 차단하는 것이 새로운 과제가 되었다. 이 해킹 집단은 분석가들이 사이버 공간에서 독특한 행동을 발견하면서 2021년경 국가 보안 관리와 연구원들의 관심을 끌기 시작했다.

"2021년에 우리는 중국에서 다른 유형의 위협과 의도를 나타내는 활동을 목격했습니다."라고 NSA 사이버보안 협력 센터의 책임자이자 사이버사령부 전투사령부의 차기 책임자인 모건 아담스키가 말했다. 이 그룹은 즉각적인 정보 가치가 없는 인프라 환경에 파고들어 과거 중국의 사이버 스파이 활동과 모순되는 행보를 보였다.

"이제 이들을 막는 것은 개인에 국한된 문제입니다. 네트워크에서 그들을 막을 수 있고 네트워크를 강화하여 그들이 다시는 그곳으로 돌아가지 못하게 할 수 있습니다. 하지만 그들은 동일한 예방 조치를 취하지 않은 다른 표적을 찾아 공격할 것입니다."라고 그녀는 덧붙였다.

미국 보고서에 따르면 볼트 타이푼 해커들은 시스템 내부에 숨어 탐지를 우회할 수 있는 '지상 생활 기술'을 사용해 왔으며, 괌의 미국 시설과 미국 내외의 다른 중요 인프라에 침입했다고 한다. 

이 비밀스러운 활동에는 도난당한 관리자 자격 증명에 의존하여 공격 사실을 더 쉽게 숨길 수 있기 때문에 밝혀내기 어려운 수법이 사용된다. 

표적이 된 피해자는 최초 설정 시 로그인에 사용되는 소프트웨어 제품과 함께 자동으로 제공되는 기본 비밀번호를 변경하는 등 계정 자격 증명을 더 잘 관리하기 위한 조치를 취해야 한다.

"여기 있는 그 누구도 우리가 한 번의 작전으로 모든 것을 근절했다고 말하지는 않을 것입니다. 그런 식이 아닙니다."라고 FBI 사이버 부서의 부책임자인 신시아 카이저는 말합니다. 앞으로 KV 봇넷과 같은 테이크다운 작전을 수행하면 해커들이 다른 악용 가능한 도메인에서 은신처를 찾을 시간이 필요하며, 그 목표는 다른 미국 네트워크를 사냥하는 것을 "좌절시키고 지연시키고 방해하는 것"이라고 그녀는 덧붙였다.

현재로서는 당국은 볼트 타이푼이 얼마나 멀리 퍼졌는지 측정 가능한 수치를 내놓을 수 없다. 피해자의 수는 여전히 계속 추적 중이기 때문에 측정하기가 너무 어렵다고 아담스키는 말했다.

한 선도적인 사이버 보안업체의 CEO는 최근 Nextgov/FCW와의 인터뷰에서 해킹 캠페인이 매우 강력하고 광범위하기 때문에 공격의 표적이 된 피해자들이 자신이 피해를 입었다는 사실을 모를 것이라고 말했다.

"이 사실을 아는 유일한 사람은 중국뿐입니다."라고 CISA의 중국 운영 담당 부책임자인 앤드류 스콧은 말했다. "그들은 그들이 무엇을 표적으로 삼고 있는지, 어디를 표적으로 삼고 있는지 알고 있습니다. 따라서 우리의 임무는 가능한 한 그 사실을 밝히는 것입니다."