정용환 기자
중국 정부 지원을 받고 있는 해커 그룹 볼트 타이푼(Volt Typhoon)이 인터넷 서비스 제공업체(ISP)와 관리형 서비스 제공업체(MSP) 등에서 사용되는 네트워크 운영 플랫폼 버사디렉터(Versa Director) 내 제로데이 취약점을 악용한 공격 그러니까 제로데이 공격을 했다고 지적되고 있다.
보고에 따르면 버사 디렉터에는 Provider-Data-Center-Admin 또는 Provider-Data-Center-System-Admin 권한을 가진 사용자가 잠재적으로 악의적 파일을 업로드할 수 있는 취약점이 있었다고 한다. 이 취약점은 CVE-2024-39717로 보고됐으며 버사는 패치를 배포했다. 하지만 패치를 적용하기 전에 지속적 표적형 위협(APT) 공격 주체에 의해 최소한 1건 알려진 사례에서 악용됐다고 한다.
표적으로는 미국 내 ISP와 MSP, 정보기술 분야가 4건, 미국 외 1건이 확인됐다. 취약점 악용을 발견한 통신사업자 루멘테크놀러지(Lumen Technologies) 블랙로터스랩(Black Lotus Labs) 팀에 따르면 IT 인프라 서비스 제공업체를 대상으로 한 제로데이 공격이나 메모리 내에서만 실행되는 자바 기반 백도어 등 중국 정부 관련 해커 그룹 공격 특징이 나타났으며 볼트 타이푼이 중간 이상 확률로 침입에 관여했을 것으로 보인다고 한다.
CISA 젠 이스털리 국장은 중국과 대만간 긴장이 고조됨에 따라 중국이 대만 동맹국 그러니까 미국에 대한 파괴적인 공격 방법을 모색하게 됐다고 지적하고 있다.
한편 중국 당국은 볼트 타이푼이라는 집단의 존재 자체가 서방 정보기관에 의해 만들어진 것이며 실제로 공격을 하고 있는 건 랜섬웨어 갱이 아니냐는 견해를 보이고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
