시큐리티팩트
중국 국가 지원 해커 '솔트 타이푼', 미국 주 방위군 네트워크 장기 침투
2024년 3월부터 12월까지 사이버 스파이 활동.. 방위군·군인 개인 정보 탈취
댓글 0
기사입력
: 2025.07.17 14:57
[시큐리티팩트=최석윤 기자] 중국 국가 지원 해커 그룹인 '솔트 타이푼(Salt Typhoon)'이 2024년 3월부터 12월까지 약 10개월 동안 미국 주 방위군 네트워크에 침투해 지속적인 접근 권한을 유지한 것으로 드러났다. 16일(현지 시각) NBC 뉴스가 입수한 국토안보부(DHS) 메모에 따르면, 이들의 정교한 사이버 스파이 활동은 미군 인프라에 대한 중국의 사이버 작전이 크게 확대되고 있음을 의미한다. 이는 민감한 국방 정보 및 운영 보안 프로토콜의 손상 가능성에 대한 심각한 우려를 낳고 있다.
솔트 타이푼, 미국 주요 인프라 노린 지능형 지속 위협(APT)
솔트 타이푼은 중국 국가안전부(MSS)와 연계된 것으로 알려진 지능형 지속 위협(APT) 그룹이다. 통신 인프라와 정부 네트워크를 체계적으로 표적으로 삼는 특징을 보인다. 이들은 장기간 탐지되지 않은 채 시스템에 머무르며 정보를 탈취하는 데 탁월한 능력을 지녔다. 이는 이들이 악성 활동과 합법적인 시스템 프로세스를 혼합하는 고급 루트킷 기술 및 오프라인 기술을 사용하는 데서 기인하는 것으로 분석된다. 이러한 수법은 기존 보안 모니터링 시스템으로 탐지하기 매우 어렵게 만든다.
6월 DHS 메모에 기록된 미 국방부 조사 결과는 솔트 타이푼의 악명 높은 장기 지속성 유지 능력을 여실히 보여준다. 이들은 주 방위군 네트워크에서 지리적 위치 지도, 내부 네트워크 토폴로지 다이어그램, 그리고 군인들의 개인 정보까지 탈취했다. 이러한 정보는 다른 주 방위군 및 주 차원의 사이버 보안 파트너에 대한 향후 공격을 용이하게 할 수 있는 포괄적인 인텔리전스 프로필을 구축하는 데 활용될 수 있다.
연방 국방부-주 정부 ‘이중적 특성’ 악용해 공격
특히 이번 공격은 연방 국방부의 권한과 주 정부 통제 구조 하에서 운영되는 주 방위군의 이중적 특성을 악용했다는 분석이다. 주 방위군은 지방 정부 및 법 집행 기관과 긴밀한 통합을 유지하기 때문에 공격 표면이 확장될 수밖에 없다. DHS 보고서는 특히 14개 주의 주 방위군이 정보 공유를 위해 법 집행 ‘융합 센터’와 협력하고 있다는 점을 강조하며, 이로 인해 침해의 영향이 여러 관할권에 걸쳐 확산될 수 있다고 경고했다.
솔트 타이푼은 과거에도 미국의 주요 인터넷 및 전화 회사를 해킹한 전력이 있다. NBC 뉴스 분석가들은 이 그룹이 AT&T와 버라이즌을 포함한 최소 8개 주요 통신사를 해킹했으며, 이러한 접근 지점을 이용해 해리스와 트럼프 대통령 선거 캠프, 그리고 척 슈머 상원 원내대표 사무실의 통신을 모니터링했다고 지적했다. 또한, 2022년부터 진행된 것으로 알려진 통신사 해킹 캠페인은 미국 내 통신 네트워크에 대한 지속적인 접근 권한을 확보하는 것이 목표였으며, 라우터나 스위치와 같은 핵심 장비의 취약점을 악용하여 콜 기록 데이터 및 일부 고위 인사들의 통화 내용까지 확보한 것으로 알려졌다.
솔트 타이푼 공격 기법, 미 국가 안보 위협
솔트 타이푼의 지속적인 활동과 진화하는 공격 기법은 미국 국가 안보에 대한 심각한 위협으로 인식되고 있다. 이들은 VPN, 방화벽, Exchange 서버 등 대중에 노출된 엔드포인트의 취약점을 악용하여 초기 침투를 시도하며, 스피어 피싱 이메일을 통해 악성코드를 유포하기도 한다. 네트워크 침투 후에는 '데모덱스(Demodex)' 루트킷과 '고스트스파이더(GhostSpider)' 백도어와 같은 맞춤형 악성코드를 사용하여 장기적인 지속성을 확보하고 정보 탈취를 수행한다.
