전체메뉴

[애플경제 엄정원 기자] 중국을 배후로 둔 ‘솔트 타이푼’(Salt Typhoon) 해커들이 전세계 80개국 이상의 주요 기반 시설을 침해하고 200개 이상의 미국 기관을 표적으로 삼은 것으로 알려져 파장을 일으키고 있다. 이들은

‘스매시 앤 그랩’ 전략을 우회, 라우터와 감시 시스템에 침투해 민감한 데이터를 훔치고 탐지를 피했다. 이에 미국 FBI를 비롯한 12개국 이상의 사이버 보안 기관은 중국 국가 지원 해킹 그룹인 솔트 타이푼에 대한 공동 경보를 발령했다.

이른바 ‘파이브 아이즈’(Five Eyes) 동맹과 유럽 및 아시아 파트너 국가들이 모두 대응에 나섰다. 파이브 아이즈는 미국과 영국을 필두로 캐나다, 호주, 뉴질랜드의 다섯 개 국가가 참여하는 정보기관 공동체다. 이들을 중심으로 한 각국 사이버 보안 기관은 이를 국가가 저지른 가장 광범위한 사이버 스파이 활동 중 하나로 간주하고 있다.

외신을 종합하면 이들 해커들은 최소 2019년부터 활동해 왔다. 처음에는 통신 네트워크에 침투한 후 교통, 접객, 국방, 정부 시스템 등의 분야로 점차 확장해왔다. 수사관들에 따르면 솔트 타이푼은 기존의 ‘스매시 앤 그랩(smash-and-grab)’ 수법에 의존하지 않는다. 그 대신 라우터, 엣지 하드웨어, 감시 시스템 등 네트워크 인프라에 은밀하게 접근, 장기간 발각되지 않은 채 활동한 것으로 밝혀졌다.

이러한 시스템에 침투, 민감한 통화 기록과 법 집행 지시, 그리고 중요 네트워크를 통해 전송되는 데이터를 가로챌 수 있었다.

미국 FBI는 “이는 사이버 공간 작전의 상식을 크게 벗어난 방식으로 전 세계 중요 인프라를 훨씬 더 광범위하고 무차별적으로 공격하고 있음을 보여준다”고 워싱턴포스트에 밝혔다. 해커들은 또한 통신 회사에서 사용하는 ‘합법적 감청’ 시스템도 해킹했다. 이를 통해 정부 감시 활동을 파악하고 특정 개인을 표적으로 삼은 것으로 알려졌다.

中기업들, 中인민해방군, 국가안전부 통해 도구 지원

그러면 솔트 타이푼의 배후는 어딜까? 각국 사법 당국은 중국 기업 3곳과 연관시켰다. 중국 사천의 ‘쥐신허 네트워크 기술 유한회사’, 베이징의 ‘환위 톈치옹 정보 기술 유한회사’, 사천의 ‘지신 루이지에 네트워크 기술 유한회사’ 등이다.

이 회사들은 중국 인민해방군과 중국 국가안전부에 사이버 도구와 서비스를 공급, 이런 해킹 행위를 지원했다는 혐의를 받았다. FBI와 그 동맹국들은 이 조직을 솔트 타이푼으로 지칭하지만, 민간 사이버 보안 회사들은 ‘고스트 엠퍼러’(Ghost Emperor), UNC5807, ‘레드 마이크’(Red Mike) 등 다른 이름으로 추적해 왔다.

그러나 “그런 노력에도 불구하고, 관계자들은 솔트 타이푼이 여전히 활동 중”이라고 말했다.

전문가들은 그러나 “해커들이 (단속 후에도) 재진입 지점을 남겨놓기 때문에 이들을 퇴치하는 것이 어렵다”고 경고했다. FBI 역시 워싱턴 포스트와의 인터뷰에서 “6개월 전에 안전했다고 해서 지금도 안전하다는 뜻은 아니다.”라고 말했다.

이에 대한 각국의 사법기관은 ‘공동 대응안’을 통해 기술 지표를 간략하게 설명하고, 알려진 취약점을 나열하며, 기업과 정부의 신속한 대응을 촉구하고 있다. 그러면서 “신속한 패치 적용, 제로 트러스트 모델 도입, 미사용 서비스 비활성화, 인증 프로토콜 강화” 등의 조치를 권고했다.