미국 CISA, FBI 등이 공동으로 중국 정부가 지원하는 해커 집단인 볼트 타이푼(Volt Typhoon)이 적어도 5년간 미국 중요 인프라에 대한 액세스를 유지하고 있다는 조사 결과를 정리했다. 이는 정보를 훔치는 기존 사이버 공격에서 벗어나 미국 인프라를 탈취하려는 중국 측 야망이 급격하게 높아지고 있다는 걸 의미하며 당국은 대만 침공 전초전으로 치명적 파괴 공작이 이뤄질 수 있다는 우려를 나타냈다.
볼트 타이푼 위협이 처음으로 밝혀진 건 2023년 마이크로소프트가 중요 인프라를 표적으로 한 스파이 활동에 대해 경고했을 때다. 이후 볼트 타이푼은 미국 본토와 괌을 포함한 해외 영토에 있는 여러 중요한 인프라를 침해하고 있는 것으로 확인됐으며 대상은 통신, 에너지, 수송, 상하수도 등 다방면에 걸쳐 있다.
볼트 타이푼의 큰 특징은 검출을 회피하는 LOTL(Living Off The Land) 기술을 이용해 중요한 인프라에 침투하는 것. 이를 통해 볼트 타이푼은 유효 계정에 기생해 발견되지 않고 장기간 잠복할 수 있다.
이번에 발표한 보고서에서 당국은 볼트 타이푼이 표적 IT 환경 내에서 적어도 5년간은 액세스와 발판을 유지하고 있던 징후를 관찰하고 있다며 볼트 타이푼은 표적 조직 체제에 대해 배우기 위해 대규모 사전 정찰을 실시하고 표적 환경에 맞춰 전술, 기술, 순서를 조정해 장기간에 걸쳐 계속 자원을 투입해 지속성을 유지한다고 밝혔다.
여러 미국 기관이 작성한 이번 공동 성명에는 호주, 캐나다, 영국, 뉴질랜드 등 파이브아이즈 정보기관이 파트너로 이름을 올리고 있다. 중국이 볼트 타이푼을 사용해 미국 인프라를 혼란시키기로 결정한 징후는 없지만 당국은 긴급 사태가 발생하면 상황이 빠르게 변화할 우려가 있다고 우려하고 있다.
중국 사이버 위협에 관한 하원위원회 공청회에서 FBI 측은 볼트 타이푼을 우리 세대를 정의하는 위협이라고 표현하고 이 목적은 전쟁 초기 단계에서 군 동원 능력을 혼란시키는 것이라고 말했다. 이 발언은 중국이 자국령이라고 주장하는 대만을 둘러싼 충돌을 염두에 둔 것이다.
2024년 1월말 미국 정부는 볼트 타이푼 사이버 공격용 볼넷 해체에 성공했다고 발표했지만 볼트 타이푼의 새로운 침입 경로를 찾는 의욕을 보이고 있다고 관계 기관에 계속 경계를 강조했다. 관련 내용은 이곳에서 확인할 수 있다.