두 개의 사이버 태풍 겪은 미국, 수사 방법 자체가 변했다

중국 해킹 조직들 때문에 FBI의 사이버 보안 접근법 자체가 변했다고, FBI가 직접 밝혔다. 여기서 말하는 중국 해킹 조직이란 작년 미국 전체를 들썩이게 했던 설트타이푼(Salt Typhoon)과 볼트타이푼(Volt Typhoon)이다. 

타이푼 시리즈?
작년 미국에서는 ‘누군가 통신 인프라에 숨어 지속적으로 미국 사회를 염탐해 왔다’는 사실이 밝혀지며 소동이 벌어졌다. 조사를 해 보니 설트타이푼과 볼트타이푼이라는 해킹 조직이었다고 미국은 발표했다. 이 두 조직은 이전부터 ‘중국의 APT 조직’으로 알려져 왔었다. 즉 미국은 “중국이 우리나라를 해킹하고 도청했다”고 발표한 것이다. 다만 이 공격이 언제부터 시작됐는지는 알 수 없고, 심지어 지금도 위협들이 완전히 제거됐다고 자신 있게 말할 수 없는 상황이다.

당시 설트타이푼과 볼트타이푼은 미국의 통신 시설을 위주로 여러 사회 기반 시설들에 침투한 것으로 밝혀졌다. 대부분 미국의 전쟁 수행 능력과 관련된 시설들이었다. 이 때문에 전문가들과 미국 정부는 중국-대만 전쟁이 벌어졌을 때 미국이 발빠르게 대응하지 못하게 하기 위한 중국 측의 선제적 작전이었다고 이 움직임을 해석하고 있다. 

강대국들끼리 해킹 능력을 동원해 서로를 염탐하는 건 늘 있어왔던 일이지만 이 사건은 (미국 입장에서) 특별했다. 이전의 APT 활동보다 훨씬 은밀하고, 훨씬 끈기 있게 수행됐기 때문이다. FBI는 최근 발표를 통해 “설트타이푼과 볼트타이푼은 침투에 성공할 때까지 꾸준히 공격을 실행했고, 침투한 후에는 들키지 않기 위해 피해자 시스템 내 정상 도구들을 악용해 자신들의 목적을 달성했다”고 밝혔다. 

“이런 LotL(Living off the Land) 기법은 APT 조직들이 이전부터 행해왔던 겁니다. 하지만 이번 타이푼 공격자들의 경우, 그 능력이 훨씬 더 향상됐습니다. 침투하는 것에서부터 스스로를 감추는 것까지, 이전과 비교할 수 없는 실력을 발휘했습니다. 이 때문에 대응하는 입장에서는 침해지표를 공유하는 것조차 까다로워졌습니다.” FBI의 설명이다.

어떤 점이 변했나?
FBI는 “이러한 경험 때문에 추적과 수사를 진행하는 기본 자세 자체가 바뀌었다”고 말한다. “지금도 설트타이푼이나 볼트타이푼이 미국 통신 네트워크 안에서 완전히 사라졌다고 자신할 수 없습니다. 그렇기에 저희는 ‘이미 공격자들이 존재한다’는 가정 하에 할 일을 합니다. 추적과 분석, 수사 모두 ‘공격자들이 이미 들어와 있다’는 전제 속에서 진행되는 겁니다. 그렇기 때문에 저희의 실제 탐지와 위협 사냥 방식 모두 이전과 완전히 다릅니다.”

위에서 언급된 LotL도 FBI를 변하게 만든 요인이다. “과거의 공격자들은 자신들이 사용할 악성 도구와 코드를 배포했습니다. 그게 없으면 숨어 들어온다 한들 아무 것도 할 수 없었으니까요. 지금은 아닙니다. 이제는 이런 ‘세팅 완료’ 단계 없이 곧바로 공격을 시작합니다. 이 때문에 ‘공격자의 도구와 악성코드가 어딘가 존재한다’는 가정을 가지고 추적할 수가 없습니다. 빈손으로 들어와 아무런 지문이나 발자국도 남기지 않은 유령을 쫓아야 합니다. 이는 이전과 같은 방식의 침해지표를 만들거나 공유하는 게 어려워질 수 있다는 걸 뜻합니다.”

이는 민관의 협조 체계에도 변화가 있을 수 있다는 뜻이다. 굳이 민관이 아니더라도, 침해지표를 공유하며 방어 강화에 협조하는 지금의 체제 자체가 업그레이드 되어야 한다. LotL 전술이 보편화 되기 전에 말이다. “지금의 방어 및 정보 공유 체계는 공격자들이 노이즈를 잔뜩 만들면서 시끄럽게 움직이는 걸 전제로 하고 있습니다. 실제 공격자들은 빠르게 치고 들어가 원하는 걸 가지고 재빨리 도망가곤 했습니다. 그러니 사건이 발생한 후 추적하는 게 가능했고요. 현대의 공격자들은 더 은밀해지고 더 조용해지고 있으며, 이를 바탕으로 더 장기적 공격을 실시합니다.”

미국의 연방 사이버 보안 전담 기관인 CISA 역시 “해커들의 정교함과 은폐 기술이 기하급수적으로 좋아지고 있는 것에 주목하고 있다”며 “공격의 흐름과 목적의 변화도 수반한다”고 설명한다. “과거의 공격자들은 스파이 활동을 주로 했습니다. 숨어들어 필요한 정보를 빼간다, 이런 매커니즘이었죠. 지금은 훨씬 복잡합니다. 통신망과 IT망을 수년 전부터 파고들어 조용히 웅크리고 있고, 이를 통해 필요한 정보를 가로채는 것만이 아니라 교란까지 하는 등 방어자가 다 상상할 수 없는 행위들을 합니다. 방어가 훨씬 까다로워진 것이죠.”

그 외에도 공격자들이 클라우드를 적극 이용하고 있는 최근 트렌드 역시 CISA는 주목하고 있다고 밝혔다. “이건 예견된 것이었습니다. 공격 대상들, 즉 현대의 기업과 기관들이 빠르게 클라우드로 옮겨가고 있으니 공격자들 역시 따라와야 하지요. 하지만 그 속도가 너무 빨라, 공격 대상들이 클라우드로 가기도 전에 이미 공격자들이 클라우드를 차지하고 있다고 보일 정도입니다. 이들은 이미 클라우드로 가서 덫을 바삐 치고 있습니다. 클라우드로의 이전을 계획할 때, 그곳의 위험도 이제는 예상해야 합니다.”

Related Materials

• China's 'Typhoons' changing the way FBI hunts sophisticated cyber threats - CyberScoop, 2025년
• FBI issues IC3 alert on 'Salt Typhoon' activity, seeks public help in investigating PRC-linked cyber campaign - Industrial Cyber, 2025년
• FBI shuts down China 'Volt Typhoon' hackers targeting U.S. - CNBC, 2024년
• CISA, FBI Release New Salt Typhoon Defense Guidance - Eclypsium, 2025년

데프콘 : APT 역추적 이슈에 대한 고찰 (1)

💡Editor’s Pick - 사실은 한국이 발칵 뒤집혔어야 할 사건 - 이런 사건이 흐지부지 묻힌다는 게 놀랄노자 - 이 사건을 통해 고찰해봄직 한 것들 윤리적 해킹 = 뜨거운 ‘아아’? 지금은 기억이 가물가물한 수년 전 어느 보안 행사에서의 일이다. 한 보안 전문가께서 기조 연설을 하시다가 ‘윤리적 해킹’이라는 표현 자체를 신랄하게 비판하셨다. 해킹이라는

The Tech Edge문가용 기자

FBI가 죽인 줄 알았던 룸마, 무슨 일 있었냐는 듯 재등장

💡Editor’s Pick - 5월, FBI가 무력화시켰던 룸마스틸러 - 한 때 가장 인기 높았던 멀웨어답게 금방 되살아나 - 현재 크랙 소프트웨어 가장해 확산 중 한 때 악명을 떨쳤던 정보 탈취 멀웨어 룸마스틸러(Lumma Stealer)가 부활했다. 지난 5월 FBI가 대대적인 작전을 통해 무력화시킨 후 불과 2개월만의 일이다. 이들이 FBI의 표적이 된

The Tech Edge문가용 기자