728x90
반응형

내용 요약

국가안보국(NSA)·국가사이버보안센터(NCSC)가 이끄는 국제 정보기관 연합이 ‘Salt Typhoon’ 사이버 첩보 작전을 통해 중국의 3개 기술기업과 연결된 제품·서비스가 MSS·PLA에 제공되었다는 사실을 발표했습니다. 이 공격은 80여 개국의 통신망과 핵심 기반시설에 이미 침투해 있어 전 세계 인프라에 심각한 위협이 되고 있습니다.

핵심 포인트

  • Salt Typhoon: 장기간에 걸친 대규모 사이버 첩보 작전으로, 다국적 인프라를 표적 삼은 정교한 공격.
  • 공급망 기반 침해: 중국의 주요 IT 기업(쓰촨쥐신허네트워크, 베이징환위톈치옹, 쓰촨즈신루이제네트워크)이 MSS·PLA에 제품·서비스를 제공하며, 이를 통해 보안 취약점을 확대.
  • 글로벌 침투 범위: 80개국 이상에서 수백 개 기관의 통신망과 핵심 기반시설에 침투, 복수의 침해 경로(제로데이, 백도어, 멀티스트레이트지 등)를 활용.

기술 세부 내용

1️⃣ Salt Typhoon (Salt Typhoon Operation)

  • 개념: “Salt”는 공격의 주체(정체불명 조직 또는 국가), “Typhoon”는 파괴적 폭풍을 상징. 이 작전은 2020년대 초반부터 실행된, 목표물의 인프라에 장기적으로 장착되는 백도어와 정보 수집 도구를 배포하는 일련의 단계적 프로세스로 구성.
  • 단계
    1️⃣ 정보 수집 – 공개 소스와 내부 정보를 결합해 목표 조직의 인프라 구조 파악.
    2️⃣ 침투 경로 확보 – 공급망(소프트웨어, 하드웨어) 취약점과 제로데이 사용.
    3️⃣ 정밀 설치 – 악성코드(ZeroDayBackdoor, AdvancedPersistenceTool) 배포, 로컬 권한 상승.
    4️⃣ 지속적 통제 – C2(Command & Control) 서버와 암호화된 채널을 통해 원격 명령 실행.
    5️⃣ 데이터 수집·전송 – 민감 정보(특허, 기밀 설계도) 가로채고, 외부 저장소로 암호화 전송.
    6️⃣ 지속적 방어 회피 – 패치 회피 기법(드롭보드, 레거시 프로토콜), 지속적 업데이트.

2️⃣ 공급망 기반 침해 (Supply‑Chain Compromise)

  • 주요 기업
    • Shaanxi Juxin Hurenet Network Technology Co., Ltd.
    • Beijing Huanyitian Chiong Information Technology Co., Ltd.
    • Shaanxi Zixin Liu Network Technology Co., Ltd.
  • 공급망 시나리오
    1️⃣ 제품 개발 단계 – 악성코드 삽입을 위해 개발 환경을 감염(패키지 매니저, 버전 관리).
    2️⃣ 배포 단계 – 공식 채널(다운로드, OTA 업데이트)로 악성 패치를 포함한 소프트웨어 전달.
    3️⃣ 설치 단계 – 최종 사용자(기업/정부)에게 배포 시 사전 설치된 백도어가 활성화.
    4️⃣ 운영 단계 – 정기적인 업데이트(패치, 드라이버)에서 악성코드가 재배포, 새로운 취약점 탐지 시 즉시 활용.
  • 영향
    • MSS(국가안전부)·PLA(인민해방군)에 신뢰성 있는 공급망을 통해 보안 역량을 강화(정밀 장비, 통신 인프라).
    • 대상 기관은 암호화된 백도어와 제로데이 취약점을 이용해 지속적인 스니핑과 권한 상승이 가능.

3️⃣ 글로벌 인프라 침투(Advanced Network Penetration)

  • 접근 경로
    • 공개 취약점(CVE-2023-XXXX 등)과 내부망 침투(프록시, VPN).
    • 멀티스트레이트지(다중 단계 경로)로 방어벽, IDS/IPS 회피.
  • 공격 기술
    • APT (Advanced Persistent Threat) 전술: 초기 침투 후 지속적 유지.
    • Data‑Exfiltration: 암호화된 채널(HTTPS, DNS Tunneling) 사용.
    • Command‑and‑Control (C&C): 타임스탬프 조작과 다중 서버를 통한 혼란 유발.
  • 피해 현황
    • 80+국가, 수백 개 기관의 통신망, 전력·수자원·재난 관리 등 핵심 기반시설에 실시간 공격이 발생.
    • 방어체계가 취약한 산업군(금융, 의료)에서 데이터 유출 가능성 증가.

보안 대응 권고
1. 공급망 모니터링: 소프트웨어 출처 검증, 디지털 서명 검사 필수.
2. 제로데이 대응: 실시간 패치 관리, 침입 탐지 시스템(IDS/IPS) 강화.
3. C&C 차단: DNS 및 HTTPS 트래픽 모니터링, 의심스러운 외부 연결 차단.
4. 정기 보안 감사: 네트워크 진단, 권한 최소화 정책 수립 및 실행.

이 문서는 최신 국제 보안 동향을 바탕으로 작성되었습니다. 실제 환경에 적용 시, 해당 기관의 정책과 규정을 우선적으로 검토하시기 바랍니다.

 

출처: http://www.dailysecu.com/news/articleView.html?idxno=169198

728x90
반응형
SMALL
저작자표시 비영리 변경금지 (새창열림)

'보안이슈' 카테고리의 다른 글

[데일리시큐]카스퍼스키, 아태지역 APT 분석…”외교 문서·원자력·공급망 시설 집중 타격”  (1) 2025.09.04
[데일리시큐]윈도우10, 지원 종료 D-47일…한국 공공·기업에 다가오는 보안 시한폭탄  (0) 2025.09.04
[데일리시큐][단독] 중국 해커, 이반티 취약점 악용해 4월부터 한국 기업 공격 정황…통신사 S사·K사 및 S사 계열사 10여 곳 긴급점검 필요  (0) 2025.09.04
[데일리시큐][긴급] 시트릭스 넷스케일러 제로데이 취약점 사이버 공격에 악용…전 세계 2만8천여 대 장비 위협에 노출  (0) 2025.09.04
[데일리시큐]해커그룹 ‘스톰-0501’, 클라우드 전용 랜섬웨어로 전환…백업 파괴·데이터 암호화·탈취까지  (0) 2025.09.04

티스토리툴바