중국의 APT인 볼트타이푼이 한 방 먹었다. 미국 수사 기관이 원격에서 킬 스위치를 전송해 볼트타이푼이 운영하던 공격 인프라를 무력화시킨 것이다. 영구적인 조치가 되지는 못하지만, 적잖은 피해를 입힌 것으로 보인다.

[보안뉴스 문정후 기자] 미국 사법부가 악명 높은 중국의 사이버 공격 단체인 볼트타이푼(Volt Typhoon)의 공격 인프라를 와해시켰다고 발표했다. FBI의 국장인 크리스토퍼 레이(Christopher Wray)는 볼트타이푼에 대해 “오늘날을 대표하는 사이버 위협”이라고 표현한다. 볼트타이푼은 소규모 사무실과 가정용 라우터를 다량으로 침해해 공격의 발판으로 삼는 것으로 알려져 있다. 주로 미국의 사회 기반 시설들을 공략하며 추적을 까다롭게 만드는 데 일가견이 있다.


FBI는 공격자들의 C&c 네트워크를 흉내 내 볼트타이푼에 의해 미리 감염된 라우터들로 ‘킬스위치’를 전송했다고 밝혔다. 이런 식으로 와해시킨 멀웨어의 이름은 KV봇넷(KV Botnet)이라고 한다. “법원의 승인을 받고 KV봇넷 원격 삭제 작전을 진행했습니다. 이를 통해 원격에서 감염된 라우터에 접근해 공격자들의 C&C 서버와 KV봇넷을 분리시켰고, 그럼으로써 KV봇넷을 무력화시킬 수도 있었습니다.” FBI 측의 설명이다.

이번 작전을 통해 감염으로부터 해방된 라우터들은 거의 대부분이 시스코와 넷기어에서 만든 제품들이라고 한다. 그것도 생애주기 즉 지원 기한이 이미 종료된 것들이었다. “즉 두 회사의 제품들이 특별히 취약한 게 아니라, 오히려 지원 기간이 끝나도록 오랜 기간 사용될 정도로 인기가 높기 때문에 볼트타이푼의 표적이 됐다고 볼 수 있습니다. 또한 지원이 종료됐기 때문에 패치가 나오지 않는다는 것도 중요하게 작용했을 겁니다.”

그렇다고 시스코와 넷기어의 오래된 라우터들을 보유하고 있는 모든 사용자들이 위험한 건 아니라고 FBI는 설명했다. “공격자들은 라우터 내에 저장된 정보에 접근하지도 않았고 라우터의 기능을 손상시키지도 않았습니다. 심지어 라우터를 껐다 켜기만 해도 위협은 사라집니다. 다만 볼트타이푼과 똑같은 공격이 한 번 더 감행될 경우에는 여전히 감염될 가능성이 높겠지요. 그 점 하나만 빼면 그리 걱정할 것이 없습니다.”

볼트타이푼, 그럼에도 공격은 이어갈 것
중국은 오래 전부터 사회 기반 시설, 에너지 분야의 기업들, 군 시설 및 조직, 통신 분야 기업과 중공업 분야의 기업들을 계속해서 노려왔다. 볼트타이푼은 이러한 중국 정부의 움직임을 지원하는 해킹 조직 중 하나이며, 정보 탈취는 물론 데이터 삭제 및 기능 훼손 등의 공격을 실시할 능력도 갖춘 것으로 분석되고 있다. 특히 실제 물리적 전쟁이 발생할 경우 미군이 신속하고 정확하게 움직이지 못하도록 방해하는 것을 주 목적으로 하고 있는 것으로 추정된다.

보안 업체 블루보얀트(BlueVoyant)의 글로벌 책임인 오스틴 버글라스(Austin Berglas)는 “사이버전의 양상이 요즘은 적국의 기간 시설에 직접적인 피해를 입히는 쪽으로 변하고 있다”고 말하며 “볼트타이푼의 전략적 성향이 이런 최신 트렌드를 잘 보여준다”고 평가한다. “이전에는 사이버전 행위라고 해봐야 정보를 탈취해 외교 무대에 실제 전장에서 우리 편 사람이 우위를 점하게 하는 것이 거의 전부였습니다. 지금의 파괴적 행위와 비교하면 온건해 보일 정도입니다.”

그런 의도와 목적을 가진 단체이기에 이번 FBI의 성공 한 번으로 꺾일 리 없다고 전문가들은 보고 있다. 게다가 FBI의 설명대로 라우터를 한 번 껐다 켜기만 해도 재감염이 될 수 있는 상태가 되는 것이므로 볼트타이푼이 언제 다시 돌아오더라도 이상할 것이 없다. 이 점은 FBI도 인정하고 있다. “이번 FBI의 작전으로 볼트타이푼의 공격 인프라가 크게 손상을 입은 것은 맞습니다. 하지만 일시적인 피해 정도일 뿐입니다. 영구하거나 근원적인 차원에서 볼트타이푼을 훼방한 것이 아닙니다.” 보안 업체 다크트레이스(Darktrace)의 위협 분석가 토비 루이스(Toby Lewis)의 설명이다.

보안 업체 맨디언트(Mandiant)의 부회장 샌드라 조이스(Sandra Joyce)는 “미국이 정부 기관 차원에서 중국의 APT 단체를 겨냥하고 무력화하기 시작했다는 것 자체가 큰 의미를 갖는다”는 의견이다. “볼트타이푼과 같은 조직들은 계속해서 숨어서 활동하려 애를 쓸 텐데, 그렇기 때문에 미국 정부의 눈에 한 번 들켰다는 것 자체가 꽤나 치명적으로 작용할 수 있습니다. 조용하게 피해자의 네트워크로 파고들어가 최대한 많은 정보를 빼내거나 자신들의 목적을 달성하는 게 볼트타이푼의 기본적인 목표였습니다. 그러기 위해 여러 가지 방법을 구사했는데, 그 중 하나인 KV봇넷이 무력화됐기 때문에 새로운 걸 들고 나와야 할 겁니다.”

3줄 요약
1. FBI, 중국의 악명 높은 APT 단체의 공격 인프라를 원격에서 무력화.
2. 중국 APT 단체인 볼트타이푼이 노린 건 지원이 종료된 라우터 장비들.
3. 이번 조치로 볼트타이푼은 다른 공격 기술 연마해 돌아올 것으로 보임.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>