연초 일망타진? 악명 높은 ‘볼트 타이푼’ 돌아왔다

[애플경제 전윤미 기자] 지난 연초 각국의 사법당국에 의한 일제 단속 이후 사라졌던 해커그룹 ‘볼트 타이푼’이 돌아왔다. 그러나 돌아온 ‘볼트 타이폰’은 어느 때보다 강력해졌다고 해 보안 관계자들을 긴장하게 한다.

최근 미국 법무부(DOJ)에 따르면 전 세계의 중요한 국가 인프라를 표적으로 삼는 ‘볼트 타이푼’ 그룹이 운영하는 봇넷이 올해 초 단속에 밀려 자취를 감췄다가 다시 나타났다. 이는 중국을 배후에 둔 사이버 공격 집단으로 악명이 높았다. 이들의 네트워크는 미국을 비롯한 각국에 수백 곳의 소규모 사무실이나, 수많은 홈 오피스(SOHO) 라우터로 구성되어있다. 이를 이용해 이들은 중요한 국가 인프라를 공격하곤 했다.

10개월만에 더욱 강력해진 성능으로 출현

미 법무부 성명에 따르면 지난 1월 주요국들의 보안당국과 사법기관들은 이를 표적으로 한 합동 작전을 펼쳤다. 그 결과 수백 대 라우터에서 악성 봇넷을 제거한 것으로 알려졌다. 그런 ‘볼트 타이푼’이 어느새 빠르게 다시 기능을 회복, 10개월만에 해킹을 위한 새로운 조직과 시스템을 구축한 것이다.

특히 보안업체 ‘Security Scorecard’에 따르면 ‘시스코 RV320/325’ 및 ‘Netgear ProSafe 라우터’를 침범을 위한 ‘완벽한 진입점’으로 악용하고 있다. “해당 집단은 그 어느 때보다 더 정교하고 단호하다. 단 37일 만에 눈에 보이는 ‘Cisco RV320/325’ 라우터의 30%를 손상시켜 ‘릴레이 박스’로 사용하기도 했다”는 ‘Security Scorecard의 분석이다. 또한 “‘볼트 타이푼’은 손상된 박스를 사용, 사악한 행동을 위장하곤 한다”는 얘기다.

이에 따르면 침범을 당한 라우터는 ‘디지털 카멜레온’처럼 작동, 정상적인 네트워크 트래픽을 모방하면서 은밀한 데이터 이동을 용이하게 한다.

애널리스트들에 의하면 ‘볼트 타이푼은 MIPS 기반 맬웨어 변종을 사용, 은밀한 연결을 설정한다. 또 포트 포워딩을 통해 통신하며, 보안 팀에서 명령 작업을 숨기는 데 도움이 되는 것을 관찰했습니다. 이 집단은 또 라우터에 ’fy.sh‘와 같은 웹셸을 이식, 장치에 대한 지속적인 액세스와 제어를 보장하고, 자신들이 공격 대상이 된 네트워크에서 지속성을 유지할 수 있도록 하고 있다.

그래서 “이런 공은 단순히 숨기는 것이 아니라 일상적인 네트워크 작업에 완벽하게 통합된 것”이라며 “특히 정부 및 중요 인프라 부문 내에서 악성 활동을 위장하고 정리 작업을 복잡하게 만드는 등 피해가 더 크다”고 ‘Security Scorecard’는 밝혔다.

태평양 섬에 ‘허브’, 오염된 VPN 장치 의존

이 집단은 직접 랜섬웨어를 배포하진 않는다. 대신에 RaaS 서비스를 통해 랜섬웨어를 악용하는 등 해킹을 시도하고 있다. ​​랜섬웨어 공격을 사용, 더 많은 해킹을 시도하는가 하면, 디지털 ‘강탈’을 통해 얻은 수익을 보다 정교한 도구에 재투자다.

특히 흥미로운 점은 ‘볼트 타이푼’은 태평양의 작은 섬인 뉴칼레도니아에 있는 단 하나뿐인오염된 VPN 장치에 의존한다는 사실을 강조했다. 이 섬은 아시아와 미국의 활동을 연결하는 중요한 노드 역할을 한다.

볼트 타이푼은 지난 2023년 10월에는 또 다른 ‘침묵의 다리’로 불리는 섬에서 입지를 확립하기도 했다. 그야말로 ‘세상의 눈’을 피하기 위한 다양한 수법을 구사하고 있는 것이다. 이 섬은 이들 해커들이 아시아·태평양과 미국 지역 간의 트래픽을 탐지되지 않게 라우팅하는 데 도움이 되는 비밀 허브 역할을 한다. 사법기관에 노출되지 않고도 봇넷의 도달 범위를 확장하는 역할을 하는 것이다.

그런 ‘볼트 타이푼’이 이젠 더욱 강력한 성능으로 살아있음이 밝혀졌다. ‘JDYFJ’라는 클러스터를 사용하여 전 세계적으로 트래픽을 은밀하게 라우팅하고 있다. 뉴칼레도니아와 라우터 노드의 연결은 한 달 이상 활성화되면서 ‘볼트 타이푼의 인프라를 강화’하고 있다는 소식이다.