미국의 군사 시설들이 때 아닌 해킹 공격에 시달리는 중이다. 중국의 APT 단체가 얼마 전부터 꾸준히 등장해 멀웨어를 심고 있으며, 내부자 위협 사건마저 발생했다.

[보안뉴스 문가용 기자] 미군은 이번 주말 동안 두 개의 사이버 보안 관련 사안들을 처리하느라 바쁜 시간을 보냈다고 한다. 하나는 미군 기지를 주로 공략하는 것으로 보이는 볼트타이푼(Volt Typhoon) 사건이고, 다른 하나는 공군과 FBI 통신과 관련된 내부자 침해 사건이다.


볼트타이푼부터 보자면, 원래 수주 전부터 발견되고 경고되어 왔던 위협이다. 하지만 최근 들어 바이든 행정부는 “전에 분석했던 것보다 훨씬 깊숙한 곳까지 침투한 것으로 밝혀졌다”고 정정 발표를 했었다. 현재까지도 볼트타이푼은 미군 기지의 통신, 전력, 식수 수급 및 관리와 관련된 각종 네트워크 내부에서 발견되고 있다고 한다. 영향을 입은 미군 기지들은 미국 국내 기지와 해외 기지들 전부다.

심지어 볼트타이푼은 미군이나 정부 기관과 상관없는 평범한 민간 사업체들에까지 침투하고 있었던 것으로 밝혀지고 있다. 이 때문에 볼트타이푼 사태가 드러난 게 수주 전인데도 정확한 피해 규모를 짐작도 못하고 있다. 아직도 수사는 진행되고 있다. 이 와중에 17개의 공군 기지들과 FBI의 통신망에서 침해의 흔적이 발견되기도 했었다. 공공연히 발표된 사실은 아니지만 포브스가 단독으로 수색 영장을 입수해 확인한 내용이긴 하다.

중국 멀웨어, 미국 네트워크에 숨어 있어
현재까지 알려진 바 볼트타이푼 멀웨어의 배후 세력은 뱅가드판다(Vanguard Panda)라고 알려진 중국 APT 단체다. 괌에 있는 미군 기지를 공격하는 것을 마이크로소프트가 발견하면서 세상에 드러났다. 괌은 대만을 보호하는 데 있어 가장 중요한 전략적 요충지다. 당시 MS는 “볼트타이푼 캠페인은 미국과 아시아 동맹국들 간 통신 인프라를 겨냥하고 있다”고 주장하기도 했다. 5월의 일이었다.

하지만 2개월 남짓한 시간 동안 추적을 이어간 결과 볼트타이푼이 훨씬 넓은 영역에 퍼져 있다는 것을 세상은 알게 됐다. 이들의 행적이 알려지면 알려질수록 볼트타이푼 캠페인의 궁극적인 목적이 ‘파괴’라는 쪽으로 의견이 기울고 있기도 하다. 왜 ‘파괴’일까? 뉴욕타임즈의 보도에 의하면 공격자들은 미군의 통신과 보급망에 장애를 일으켜 전쟁 발생 시 빠른 대응을 할 수 없도록 하려 하는 것으로 보인다고 한다.

다만 공격 범위가 민간인들에게도 뻗쳐 있는지는 아직 확실하지 않다. 군 시설만 쳐서 군의 정식 대응만을 불가능하게 할 것인지, 아니면 민간 시설에까지 영향을 미쳐 전쟁 무대를 크게 가져갈 것인지는 중국 정부의 의지에 달려 있는 문제이기도 하다. 미국 정부와 군 내부에서도 이 부분에 대해서는 의견이 갈린다고 한다.

FBI 사이버 보안 요원이었다가 현재는 블루보얀트(BlueVoyant)라는 기업에서 글로벌 서비스를 담당하는 오스틴 버글라스(Austin Berglas)의 경우 “중국 멀웨어가 미국 기반 시설 여기 저기에 심겨져 있다는 사실은, 이번처럼 명확히 확인이 되지 않아서 공공연히 말할 수 없었을 뿐 누구나 의심하고 있었던 일”이라고 말한다. “중국은 늘 미국과 서방 기업을 염탐해 왔습니다. 민간 기업과 정부 기관을 가리지 않았죠. 군이라고 해서 무사했을 리가 없습니다.”

하지만 버글라스는 “중국이 파괴형 멀웨어를 사용했다는 건 예상 밖의 일”이라고 지적한다. “중국은 정보를 가로채고 빼가는 데에 능숙합니다. 해커들의 작전이 거의 대부분 그런 방향으로 흘러갔죠. 파괴형 멀웨어를 사용했던 사례는 극히 드뭅니다. 전 구체적인 사례가 얼른 떠오르지가 않을 정도입니다. 중국이 서서히 노선을 바꾸는 걸까요? 아니면 미국이나 서방 세계가 먼저 자신들을 공격할 거라고 예상하고 있는 걸까요? 중국의 파괴형 멀웨어의 등장으로 보안 업계와 국방 전문가들은 머리가 복잡해지고 있습니다.”

내부자 공격에 노출된 미국 공군
지난 7월 29일 포브스는 미국 국방부의 명령으로 털라호마에 있는 미 공군 기지의 48세 엔지니어에 대한 급습 작전이 벌어졌음을 보도했다. 해당 엔지니어는 집에 9만 달러에 해당하는 각종 무선 장비를 보관하고 있었다. 공군 기지에서 빼돌린 것들이었다. 그리고 이 장비들을 가지고 공군의 신병 모집과 훈련을 담당하는 기관의 통신 내용을 엿듣고 있었다.

조사관들이 엔지니어의 집에 덮쳤을 때 컴퓨터 장비 한 대에는 모토로라의 라디오 프로그래밍 소프트웨어가 실행되고 있었고, 해당 컴퓨터에는 공군 기지의 통신 시스템 전체가 구현되어 있었다고 한다. 심지어 FBI와 다른 주 정부 기관들과의 비밀 통신에 접근하는 데에도 성공했다는 흔적이 나오기도 했다. 현재는 그가 그렇게 취득한 정보를 어떻게 활용했는지를 알아보는 중이다.

버글라스는 “이 공군 사건은 모드 조직들이 교훈을 삼아야 하는 사건”이라고 규정한다. “FBI나 공군은 내부자 관리와 감시를 매우 철저하게 하는 조직입니다. 너무 빡빡해서 근무하고 업무를 보는 게 힘들 정도지요. 하지만 그런 곳에서조차 내부자 위협은 이어지고 있었다는 건 시사하는 바가 큽니다. 내부자 위협이 우리 모두의 문제이며, 사실상 모든 기업이 겪을 수 있는 일이라는 것이죠.”

버글라스는 제로트러스트를 보다 공격적이고 광범위하게 탑재해야 한다는 것을 강조했다. “또한 최소한의 권한만을 최소한의 사람들에게 준다는 규정도 신설하거나 강화해야 합니다. 아무리 직원들이라고 해도 정보나 자료, 도구를 다루는 데 있어 실수를 할 수 있거든요. 그런 일에 대한 대책을 미리 세워두기 위해서는 조직 전체가 움직여야 합니다.”

3줄 요약
1. 미군 네트워크에 중국산 멀웨어가 심겨져 있었음.
2. 미국 공군에서는 내부자 사건이 터져 충격을 주고 있음.
3. 중국 해커들은 이번 캠페인을 통해 파괴형 멀웨어를 퍼트리는 중.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>