최근 중국의 국가 지원을 받는 사이버 공격자들이 미국의 중요 인프라 네트워크에 적극적으로 침투하고 있다는 보고서가 미국 CIS에 의해 발표되었다. '볼트 타이푼(Volt Typhoon)'으로 알려진 이 공격자들은 에너지, 교통, 수도 시스템과 같은 필수 서비스의 안정성과 보안에 심각한 위협을 가하고 있는 것으로 드러났다.
사이버보안 및 인프라 보안국(CISA)은 다른 미국 정보기관과 협력해 볼트 타이푼의 활동에 대해 자세히 설명하는 포괄적인 권고문을 지난 7일 발표했다. 국가가 후원하는 이 공격자들은 단순한 스파이 활동이 아니라 지정학적 긴장이나 미국과의 군사적 충돌이 발생할 경우 파괴적인 사이버 공격을 수행할 수 있도록 IT 네트워크 내에 미리 자리를 잡고 있는 것이다.
볼트 타이푼은 표적 네트워크에 침투해 지속성을 유지하기 위해 정교한 전술을 사용한다. 이들의 수법에는 광범위한 정찰, 취약점 악용, 탐지를 회피하기 위한 LOTL(Living-off-the-land) 기법 사용이 포함됐다. 공격 대상은 통신, 에너지, 교통 시스템, 상하수도 시스템을 포함한 주요 인프라 부문에 걸쳐 있다.
이번 보고서에서 제공하는 기술적 세부 사항은 볼트 타이푼의 복잡한 운영 방식을 잘 보여주고 있다. 이들은 일반적으로 공용 네트워크 어플라이언스의 알려진 취약점 또는 제로데이 취약점을 악용해 초기 액세스 권한을 획득한다. 일단 내부에 진입하면 권한을 상승시키고 네트워크 내에서 측면으로 이동하며 운영 기술(OT) 자산을 식별하고 표적으로 삼기 위해 세심하게 인텔리전스를 수집한다. 특히, 지속성을 유지하는 데 중점을 두는 것은 동일한 조직을 장기간, 때로는 몇 년에 걸쳐 재표적으로 삼기 위함이다.
이러한 새로운 위협에 대응하기 위해 중요 인프라 조직은 이 권고안에 설명된 완화 조치를 적용할 것을 촉구하고 있다. 여기에는 보안 모범 사례 구현, 의심스러운 활동 모니터링, 사고 대응 역량 강화 등이 포함돼 있다.
이번 보고서(영문)는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★