중국 해커, 미국 국가 방위군 해킹으로 대규모 사이버 공격 발생

국토안보부(DHS)의 기밀 메모에 따르면, 미국의 한 주의 육군 국가 방위군 컴퓨터 네트워크가 ‘소금 태풍’으로 알려진 중국 국가 연계 해킹 그룹에 의해 침투당했습니다.

NBC가 처음 보도한 이 메모는 국가 안보 투명성 비영리 단체인 ‘국민의 재산’이 제출한 정보자유법(FOIA) 요청을 통해 입수되었습니다.

메모는 해커들이 2024년 3월부터 12월까지 9개월 동안 미국 주의 육군 국가 방위군 네트워크를 ‘광범위하게 침해’했으며, 탐지되지 않았다고 전합니다. 이 침해 사건은 최근 미국 군사 인프라에 대한 가장 큰 사이버 스파이 활동 중 하나로 기록됩니다.

소금 태풍이란 무엇인가
소금 태풍은 중국 국가안전부(MSS) 정보 기관이 운영하는 것으로 추정되는 고급 지속 위협(ATP) 행위자입니다. 이 그룹은 특히 미국을 대상으로 한 고위험 사이버 스파이 활동으로 알려져 있습니다. 해킹 그룹은 방어, 에너지, 통신 등 다양한 분야의 네트워크에 대한 정보 수집 및 지속적인 접근을 목표로 합니다.

침해에서 노출된 내용
2024년 3월부터 12월 사이에 해킹 그룹은 50개 주와 4개 미국 영토의 국가 방위군 부대 간의 통신 흐름을 설명하는 내부 지도 및 네트워크 트래픽 다이어그램을 유출했습니다.

또한 관리자 자격 증명과 12개 분야에 걸쳐 70개의 미국 정부 및 중요 인프라 기관에 대한 접근 권한이 포함된 1,462개의 네트워크 구성 파일을 도난당했습니다. 이는 다른 주의 국가 방위군 및 정부 네트워크를 침해하는 데 사용될 수 있습니다.

추가로, 여러 주의 서비스 멤버 개인 식별 정보(PII)와 주 사이버 보안 인력의 위치도 영향을 받았습니다.

“2024년 3월부터 12월 사이에 소금 태풍은 미국 주의 육군 국가 방위군 네트워크를 광범위하게 침해했으며, 그 중에서도 네트워크 구성 및 데이터 트래픽을 수집했습니다. 이는 다른 모든 미국 주 및 최소 4개 미국 영토의 네트워크와의 연결을 포함합니다.”라고 메모는 전합니다.

“이 데이터에는 이러한 네트워크의 관리자 자격 증명 및 네트워크 다이어그램도 포함되어 있어, 후속 소금 태풍 해킹을 용이하게 할 수 있습니다.”

메모에 따르면, 소금 태풍은 도난당한 네트워크 토폴로지 및 구성 데이터를 사용하여 미국 정부 기관 및 중요 인프라 시스템을 침해한 이력이 있습니다.

“소금 태풍은 이전에 유출된 네트워크 구성 파일을 사용하여 다른 곳에서 사이버 침입을 가능하게 했습니다. 2024년 1월부터 3월 사이에 소금 태풍은 최소 두 개의 미국 주 정부 기관을 포함한 다른 미국 정부 및 중요 인프라 기관과 관련된 구성 파일을 유출했습니다. 이 파일 중 최소 하나는 나중에 다른 미국 정부 기관의 네트워크에서 취약한 장치의 침해에 정보를 제공했습니다.”라고 메모는 덧붙였습니다.

왜 중요한가
소금 태풍은 새로운 것이 아닙니다. 이 그룹은 AT&T, Verizon, T-Mobile 등 주요 미국 통신 회사를 침해한 이력이 있으며, 주로 Cisco 취약점을 통해 이루어졌습니다. 또한 Viasat과 같은 위성 시스템 및 미국 및 국제적으로 다른 서비스 제공업체를 대상으로 했습니다.

정부 반응 및 대응
국가 방위군 국은 침해 사실을 확인했지만 임무가 중단되지 않았다고 주장합니다. 침입의 전체 범위를 평가하기 위한 조사가 진행 중입니다.

“우리는 공격이나 이에 대한 대응에 대한 구체적인 세부정보를 제공할 수는 없지만, 이 공격이 국가 방위군이 할당된 주 또는 연방 임무를 수행하는 데 방해가 되지 않았으며, NGB는 침입의 전체 범위를 파악하기 위해 계속 조사하고 있습니다.”라고 국가 방위군 국 대변인이 말했습니다.

또한 CISA, DHS 및 국방부는 침해를 차단하기 위한 노력을 조정하고 있으며, 강화된 방화벽, 개선된 암호화, 더 엄격한 접근 제어 및 제로 트러스트 아키텍처의 광범위한 구현을 포함한 보안 조치를 고려하고 있습니다.

한편, 워싱턴의 중국 대사관 대변인은 해킹 캠페인을 부인하지 않았지만, 미국이 소금 태풍 사이버 공격과 중국의 연관성을 입증할 구체적인 증거를 제시하지 못했다고 주장했습니다.

“사이버 공격은 모든 국가가 직면하는 일반적인 위협이며, 중국도 포함됩니다.”라고 대변인은 말하며, 미국이 “소금 태풍이 중국 정부와 연결되어 있다는 결론적이고 신뢰할 수 있는 증거를 제시하지 못했다”고 덧붙였습니다.