대중 제재 핵심부처 공격, ‘SaaS API 키 탈취, 엑세스’
이미 한 달 전부터 스파이 활동, 美당국 뒤늦게 공식 발표
미·중갈등, 사이버공간으로 확산 “하이브리드 전쟁” 평가

미 재무부 휘장. (사진=익스트림테크)
미 재무부 휘장. (사진=익스트림테크)

[애플경제 전윤미 기자] 중국 해커들이 미국 재무부를 공격한 사건이 전세계의 이목을 집중시키고 있다. 미·중 갈등과 미국의 대중 제재 조치의 당사자이자, 심장부라고 할 미 재무부를 저격한 것이다.

미 당국은 “(중국측) 해터들이 미국의 대중 경제 제재를 주관하는 부서에 접근하기 위해 재무부 워크스테이션을 장악했다”고 확인했다. 이들 중국 사이버 공격자들은 원격 IT 지원에 사용되는 제3자 기능을 침해한 후, 미 재무부가 보유한 매우 민감한 정보에 접근할 수 있었던 것으로 알려졌다.

미·중 양국 간 새로운 외교문제 부상

이는 단순한 해킹 사건을 넘어 미국과 중국 양국 간의 새로운 외교문제로 부상할 것으로 보인다. 기술매체 익스트림테크는 “이같은 공격 행위가 2일 공식적으로 밝혀졌지만, 실상 지난 달 이미 현지 사이버 보안 전문가들에 의해 중국 해커들의 이같은 낌새가 포착되기도 했다.”고 전했다. 이에 따르면 특히 SaaS 전문 회사는 비욘드트러스트(BeyondTrust)는 “본사의 원격 지원 SaaS 솔루션의 API 키가 침해되었다”며 SaaS 솔루션 사용자들에게 경고를 발하기도 했다.

해커들은 훔친 키를 통해 로컬 애플리케이션 계정의 비밀번호를 재설정할 수 있다. 미국 재무부는 이에 “이번 사이버공격은 ‘중대한 사건’이라고 말하며, 해커들이 워크스테이션과 ‘해당 사용자가 관리하는 특정 비밀이 아닌 정보’에 액세스하는 데 (비욘드트러스트의 SaaS 솔루션) 키를 사용할 수 있었다”고 설명했다.

비욘드트러스트가 자사 웹사이트에 게시된 안내 공지문에 따르면 해커들은 해당 키를 즉시 해지할 수 이었다. 이에 비욘드트러스트는 “조사 결과 원격 지원 및 선별적인 원격 액세스 제품에서 두 가지 취약점을 발견했다”고 밝혔다.

중국 정부가 사실상 지원하는 해커 그룹들은 이 키를 사용, 재무부 내의 여러 민감한 부서, 특히 대중 제재 정책과 관련된 조직에 대한 스파이 행위를 지난 달 이후 벌여온 것으로 뒤늦게 확인되었다. 아직은 그로 인한 전체 피해 상황은 아직 확인되지 않은 상태다.

다만 미 당국자들은 “사이버 공격자들이 대중 경제 제재를 담당하는 기관인 재무부 외국자산통제국(OFAC)을 표적으로 삼았다”고 월스트리트저널에 밝혔다. 이에 따르면 해커들은 또한 재무부 금융연구국도 표적으로 삼았다. 재무부는 영향을 받은 ‘비욘드 트러스트’의 SaaS 솔루션은 현재 오프라인으로 전환되었다. 물론 미 재무부는 여전히 “재무부 정보에 액세스할 수 있었다는 증거는 없다”지만 이는 사실과 다른 내용이다.

(사진=사이버리즌)
(사진=사이버리즌)

양국 간 ‘앞으로 온·오프라인 공방전 치열’ 예상

재무부는 또 “재무부는 FBI, CISA 및 제3자 조사관과 협력, 이 사건을 완전히 이해하고 그 영향을 평가하고 있다”고 덧붙였다. 법률 회사 ‘Clyde & Co’의 데이터 보호 분쟁 전문가는 이에 대해 “이처럼 (미중 갈등과 대중제재라는) 지정학적 목표를 달성하기 위해 사용되는 사이버 공격이 내년에도 지속적으로 이어질 것”이라고 밝혔다.

그는 “(대중 제재에) 하이브리드(사이버와 오프라인 기반으로 반격하는) 전쟁이 2025년의 주요 이슈가 될 것으로 보인다”면서 “특히 중국 정부(등 각국 정부가)가 지원하는 사이버 공격이 서방 기관의 지적 재산과 영업 비밀을 획득, 기존 선진국의 R&D를 앞지르는 사례가 더 늘어날 것”이라고 경고했다.

그 대표적인 사례가 이번 중국 해커들의 미 재무부 해킹 사건이다. 이번 중국 해커의 공격 역시 특정 국가가 지원하는 APT(지능형 지속 위협)의 위험성을 적나라하게 보여준다. 특히 스파이 활동에 초점을 맞춘 이러한 공격은 매우 정교하고 은밀한 전술을 사용, 탐지하기가 훨씬 더 어렵게 한다.

앞서 SW업체 ‘비욘드트러스트’는 “이번 사건에선 사이버 범죄자가 활용하는 IT 분야에서 점점 더 흔해지는 두 가지 취약점, 즉 안전하지 않은 소프트웨어 공급망과, 취약한 원격 액세스 도구를 악용한 케이스”라고 익스트림테크에 밝혔다.

그에 따르면 우선 CVE-2024-12356은 CVSS 위해 점수 9.8로 심각한 명령 주입 취약점이란 지적이다. 또 다른 제로데이 CVE-2024-12686은 심각도가 그보단 덜하다. 이는 중간 심각도 등급 6.6을 받았다. 회사측은 “이들 두 가지 결함을 막기 위해 SaaS의 모든 클라우드 인스턴스에 패치되었으며, 자체 호스팅 버전에도 패치가 제공된다”고 밝혔다.

‘비욘드 트러스트’는 “우리는 가능한 한 철저한 조사를 수행하기 위해 외부 포렌식 당사자와의 작업으로 포렌식을 분석하는 등 가능한 모든 경로를 추적하고 있다”면서 “(SaaS의) 알려진 모든 영향을 받은 고객과 긴밀히 소통,협력하며 조사가 끝날 때까지 업데이트를 제공할 것”이라고 밝혔다.

이번 사건은 공급망 위험과 원격 액세스 소프트웨어의 취약점이라는 두 가지 반복적인 취약성을 반영한 전형적 캐이스로 지목된다. 즉 “어떤 시스템, 공급업체 또는 공급망도 사이버 침해로부터 자유롭지 않으며, 침해되면 강력한 IT 보안 조치조차도 우회할 수 있다”는 것이다. 이에 향후 미 재무부의 대응과 중국측 반응이 주목된다.

키워드

#미국 재무부 #미중 갈등 #대중 제재 #사이버공격 #사이버보안 #중국 #중국 해커
저작권자 © 애플경제 무단전재 및 재배포 금지