미국 정부는 중국 정부가 지원하는 해킹 집단이 이용하는 인터넷에 연결된 라우터 수천 대와 네트워크 카메라 등에서 악성코드를 삭제하는데 성공했다고 발표했다. 미국 사법부와 FBI는 중국 해킹 활동 일부를 원격으로 무효화하기 위해 법원 명령을 취득하고 있다.
바이든 대통령은 2024년 미국 대통령 선거를 방해하기 위해 중국 정부가 미국 인터넷 인프라에 해킹을 시도하는 게 아닐까 우려하고 있다. 또 2023년에는 랜섬웨어가 미국 기업에 큰 혼란을 가져왔기 때문에 미국 정부는 해킹 대책에 주력하고 있다.
최근 주목받고 있는 건 중국 정부 지원을 받는 해커 집단인 볼트타이푼(Volt Typhoon). 마이크로소프트는 볼트타이푼이 미국 중요 인프라를 목표로 하는 사어비 공격을 하고 있다고 경고한 적이 있다. 또 볼트타이푼은 군항과 ISP, 공익 사업을 포함한 서방 중요 인프라에 사이버 공격을 가하는 해킹 집단이기 때문에 정보 당국으로부터 강하게 경계되고 있다고 한다. 또 2023년 5월 서방 국가가 처음으로 볼트타이푼 사이버 공격을 경고했을 때 중국 외무부 측은 해킹 의혹은 파이브아이즈 국가로부터의 집단적 가짜 정보 캠페인이라고 언급하기도 했다.
미국 정부 사이버 보안 관계자에 따르면 볼트타이푼에 의한 사이버 공격은 2023년 5월 처음으로 발각됐다. 이후 볼트타이푼은 2023년 말경 활동 범위를 확대해 사이버 공격 기법 일부를 바꿨다.
볼트타이푼에 의한 사이버 공격이 너무 광범위했기 때문에 미국 정부는 통신사와 클라우드 컴퓨팅 기업 여러 곳을 포함한 민간 기술 업계와 공동으로 회의를 열고 사이버 공격 활동 추적을 지원하게 됐다고 한다. 한 국가 안보 전문가는 볼트타이푼 사이버 공격으로 중국이 어떤 형태로 미군 작전을 지원하고 있는 인도태평양 지역 중요 시설을 원격지에서 방해할 수 있을 가능성이 있다고 지적한다. 덧붙여 미국 정부 관계자는 해커가 중국에 의한 대만 침공에 대비한 미국 준비를 해치기 위해 활동하고 있다고 우려하고 있다고 한다. 대만을 자국 영토로 주장하고 있는 중국은 대만과 미국이 손잡는 것에 대항하기 위해 최근 대만 부근에서의 군사 활동을 강화하고 있다.
보안 전문가가 밝힌 바에 따르면 볼트타이푼은 라우터나 모뎀, 보안 카메라 등 디지털 통신 기기를 제어해 기밀성이 높은 목표에 대해 사이버 공격을 가하는 것으로 교묘하게 악성코드 감염원을 숨기고 있다고 한다. 일련의 원격 제어 시스템은 봇넷이라고 불리며 컴퓨터 네트워크 내부를 모니터링하는 사이버 보안 당국 가시성을 제한할 수 있다고 한다.
전 당국 관계자는 볼트타이푼 사이버 공격 메커니즘은 지리적으로 군항과 인터넷 서비스 제공 업체 바로 옆에 설치된 카메라와 모뎀을 제어하고 진정한 표적에 대한 침입 경로를 확보한다는 것이라고 설명하고 있다. 구체적으로 볼트타이푼은 악의적 활동 탐지를 피하기 위해 정규 네트워크 트래픽에 확실히 통합되도록 하고 있다고 한다. 또 봇넷으로 이용된 네트워크 기기에는 넷기어 안전 시스템(ProSAFE), 시스코 와이파이 라우터(RV320), 드레이텍 와이파이 라우터(Vigor), 액시스 IP 카메라 등이 포함되어 있다. 시큐리티스코어카드 조사 데이터에 따르면 볼트타이푼은 시스코 와이파이 라우터인 RV320과 RV325 30%를 해킹한 것으로 추정된다.
FBI는 볼트타이푼 봇넷을 해체하기 위해 봇넷 C2 서버를 해킹하고 봇넷을 중지할 권한을 주는 법원 명령을 취득했다. 또 침해 장치에 봇넷에서 벗어나도록 명령을 전송해 볼트타이푼이 이런 장치를 악의적 네트워크에 다시 연결할 수 없도록 한다.
또 봇넷 VPN 구성 요소를 제거해 해커가 이런 장치를 악용해 추가 사이버 공격을 수행하는 걸 방지했다. FBI와 공동으로 볼트타이푼 봇넷을 삭제하는 전략을 수행한 사법부는 봇넷을 구성한 라우터 대부분은 시스코와 넷기어 와이파이 라우터였지만 이들 라우터가 지원 종료 상태에 도달했기 때문에 취약했다며 다시 말해 제조업체 보안 패치와 기타 소프트웨어 업데이트로 인해 지원이 종료됐기 때문이라며 일부 라우터가 사이버 공격 대상이 됐다고 설명하고 있다.
미국 CISA와 FBI는 SOHO 라우터 제조업체에게 지침을 발행하고 볼트타이푼 공격으로부터 확실하게 보안을 확보하도록 요구하고 있다. 또 이 지침에는 보안 업데이트 자동화, 기본적으로 랜에서만 웹 관리 인터페이스에 대한 액세스를 허용하는 것, 설계와 개발 단계에서 보안 결함을 제거하는 것 등이 요구되고 있다.
정부기관과 해커가 사이버 공격 출처를 숨기기 위해 소위 봇넷이라는 걸 사용하는 건 새로운 사례가 아니다. 이런 접근법은 공격자가 다수 피해자를 동시에 빠르게 겨냥하고 싶거나 피해자 기원을 숨기려는 경우에 사용된다고 한다. 관련 내용은 이곳에서 확인할 수 있다.