지도에서 빨간 점으로 표시된 것은 특정 네트웍 장비의 알려진 보안홀을 뜻합니다. 북미 통신사들을 대상으로 기존에 알려진 취약점을 이용하여 통신사에 무혈입성한 것으로 알려졌습니다. 남의나라 일이 아닙니다. 우리나라는 어떻게 조치하고 있을까요?
미국 연방수사국(FBI)과 협력한 캐나다 당국은 Salt Typhoon이 2월에 캐나다 통신사 소속 네트워크 장치 3대에 침입한 사실을 발견했습니다.
해커들은 단순히 탐색에 그치지 않고 구성 파일을 적극적으로 수정해 ‘GRE 터널’을 생성했습니다. 이는 네트워크 트래픽을 몰래 빼내는 숨겨진 파이프라인을 구축한 것입니다. 이것은 단발성 사건이 아닙니다. 이 침입은 이미 전 세계 주요 통신업체를 침투한 대규모 정보 수집 작전의 일부입니다.
특히 우려스러운 점은 사이버 센터의 조사 결과 Salt Typhoon이 통신 분야에 국한되지 않고 캐나다 산업 전반으로 범위를 넓혔다는 점입니다. 작전 방식은 단순하지만 효과적입니다: 한 조직의 시스템을 침투한 후, 그 기반을 활용해 민감한 데이터를 수집하거나 연결된 네트워크를 감염시키는 발판으로 사용합니다. 일부 경우 해커들은 단순히 네트워크 아키텍처를 지도화하는 데 만족한 것으로 보입니다. 이는 미래 공격을 위해 취약점을 기록하는 목적일 가능성이 높습니다.
아래는 캐나다 사이버보안센터에서 공개한 내용입니다.
캐나다 사이버 보안 센터(Cyber Centre)와 미국 연방 수사국(FBI)은 중국 인민공화국(PRC)이 후원하는 사이버 위협 행위자(Salt Typhoon으로 산업 보고서에 추적됨)가 캐나다에 미치는 위협에 대해 경고합니다. 사이버 센터는 이전에 파트너들과 함께 PRC 사이버 행위자들이 주요 글로벌 통신업체의 네트워크를 침해해 광범위하고 심각한 사이버 스파이 활동을 수행했다는 경고를 발표한 바 있습니다. 이 사이버 공지는 캐나다 내 기관에서 발생한 새로운 Salt Typhoon 관련 침해 사례를 고려해 PRC 사이버 위협 활동이 캐나다 통신 조직에 미치는 위협에 대한 인식을 높이기 위해 작성되었습니다.
캐나다 조직에 대한 위협
사이버 센터는 현재 캐나다 통신 회사를 대상으로 한 악의적인 사이버 활동을 인지하고 있습니다. 해당 활동의 책임자는 거의 확실히 PRC 국가 후원 행위자이며, 특히 Salt Typhoon입니다.
2025년 2월 중순경, 캐나다 통신사에 등록된 3대의 네트워크 장치가 Salt Typhoon으로 추정되는 행위자에 의해 침해되었습니다. 해당 행위자는 CVE-2023-20198 취약점을 악용해 3대 장치의 실행 구성 파일을 추출하고, 최소 한 개의 파일을 수정해 GRE 터널을 구성해 네트워크 트래픽 수집을 가능하게 했습니다.
별도의 조사에서 사이버 센터는 파트너 기관과 산업 보고를 통해 보고된 Salt Typhoon과 연관된 악성 지표와의 중복을 발견했습니다. 이는 이 표적이 통신 분야를 넘어 더 넓은 범위를 포함할 수 있음을 시사합니다. 캐나다 장치에 대한 표적화는 위협 행위자가 피해자의 내부 네트워크에서 정보를 수집하거나, 피해자의 장치를 활용해 추가 피해자를 침해하는 데 사용할 수 있습니다. 일부 경우, 우리는 위협 행위자의 활동이 네트워크 정찰에 한정되었을 가능성이 매우 높다고 평가합니다.
이 활동에 대한 이해가 계속 발전 중이지만, 우리는 중국 사이버 행위자들이 향후 2년간 이 간첩 활동의 일환으로 캐나다 조직, 특히 통신 서비스 제공업체 및 그 고객을 대상으로 공격을 계속할 가능성이 매우 높다고 평가합니다. 이 위협을 모니터링하고 완화하기 위해 캐나다 조직은 아래 링크된 지침을 참고하여 네트워크 강화, 에지 장치의 보안 고려 사항, 중국과 관련된 추가 사이버 위협 정보에 대해 검토할 것을 권장합니다.
통신에 대한 위협
통신 네트워크는 국가 후원 사이버 위협 행위자들의 가장 높은 우선순위 간첩 활동 대상 중 하나입니다. 적대적 국가 행위자들은 전 세계 통신 서비스 제공업체(TSP) 및 통신 네트워크에 대한 접근권을 외국 정보 수집의 핵심 소스로 의존할 가능성이 매우 높습니다. TSP는 통신 트래픽을 전송하고 통신, 위치, 기기 데이터 등 정보 가치가 있는 대규모 고객 데이터를 수집 및 저장합니다.
국가 후원 사이버 위협 행위자들은 전 세계적으로 TSP를 지속적으로 침해해 왔으며, 이는 정부 관료 등 고가치 목표물에 대한 대량 고객 데이터 유출 및 정보 수집을 목적으로 한 광범위하고 장기적인 정보 수집 프로그램의 일환으로 진행되었습니다. 이에는 개인의 위치 추적, 전화 통화 감시, SMS 메시지 가로채기 등이 포함됩니다. 국가 행위자들은 네트워크 장치(예: 라우터)의 취약점을 악용하거나 통신을 전송, 요금 부과, 관리하는 시스템의 보안 취약점을 이용해 통신 네트워크 및 데이터에 접근했습니다.
2024년 파트너 조사 결과, 중국 국가 후원 사이버 위협 행위자들이 미국 무선 통신사를 포함한 주요 글로벌 TSP의 네트워크를 침해한 것으로 확인되었으며, 이는 표적화된 간첩 작전의 일환으로 진행된 것으로 추정됩니다. 파트너 기관에 따르면, 해당 행위자들은 침해된 TSP로부터 고객 통화 기록 데이터를 탈취했습니다. 위협 행위자들은 주로 정부나 정치 활동에 관여한 소수의 개인의 사적 통신도 수집했습니다.
우리는 통신 제공업체와 직접 협력하는 고객 조직의 민감한 정보에 대한 잠재적 영향에도 우려를 표명합니다. 중국 사이버 위협 행위자들은 고객 정보나 네트워크에 간접적으로 접근하기 위해 통신, 관리형 서비스 제공업체, 클라우드 서비스 제공업체 등 신뢰할 수 있는 서비스 제공업체를 침해하려는 시도를 자주 시도합니다.
PRC 사이버 공격자는 에지 장치의 취약점을 악용합니다
2025-2026 국가 사이버 위협 평가에서 언급된 바와 같이, 사이버 위협 행위자는 네트워크의 경계에 위치한 보안 및 네트워크 장치(라우터, 방화벽, 가상 사설 네트워크(VPN) 솔루션 등)의 취약점을 악용하고 있습니다. 이러한 에지 장치를 침해하면 사이버 위협 행위자는 네트워크에 진입해 네트워크 트래픽을 모니터링, 수정, 유출하거나 피해 네트워크의 더 깊은 부분으로 이동할 수 있습니다.
이 캠페인의 일환으로 PRC 사이버 행위자들은 이러한 네트워크 장치를 표적으로 삼아 기존 취약점을 악용해 TSP에 대한 접근 권한을 획득하고 유지하려 합니다. 그들의 활동이 공개 보고서를 통해 설명되었음에도 불구하고, 해당 행위자들이 계속 활동할 가능성이 매우 높습니다.
유용한 자료
추가 정보 및 유용한 조언과 지침을 위해 다음 온라인 자료를 참고하세요. 에지 보안 솔루션에 대한 안내는 sales@psymont.com에 문의바랍니다.
보고서 및 안내서
- 캐나다의 위협 평가
- 안내서 및 파트너 출판물
자문 및 지침
중화인민공화국의 네트워크 엣지 라우터 표적 활동: 관찰 및 완화 전략