미국 국가안보국(NSA)과 영국 국가사이버보안센터(NCSC)가 주도하고 10여 개국 이상이 참여한 국제 정보기관 연합이 장기간 이어진 ‘솔트 타이푼(Salt Typhoon)’ 사이버 첩보 작전을 중국 내 3개 기술기업과 직접 연결 지었다고 발표했다. 이번 공격은 이미 80여 개국 수백 개 기관의 통신망과 주요 기반시설에 침투한 것으로 알려졌다.
공동 권고문에 따르면 △쓰촨쥐신허네트워크기술유한공사, △베이징환위톈치옹정보기술유한공사, △쓰촨즈신루이제네트워크기술유한공사가 중국 국가안전부(MSS)와 인민해방군(PLA)에 제품과 서비스를 제공하며 공격을 지원해 온 것으로 조사됐다. 이들의 활동은 보안 업계에서 ‘Salt Typhoon’, ‘OPERATOR PANDA’, ‘RedMike’, ‘UNC5807’, ‘GhostEmperor’ 등 다양한 명칭으로 불리고 있다. 중국 정부는 이번 의혹을 전면 부인한다.
■전세계 통신사 겨냥한 집중 공격…장비 내부에서 은밀히 활동
이 공격 그룹은 지난 수년간 정부기관, 교통, 숙박, 군사 분야뿐 아니라 특히 전세계 통신사를 집중적으로 공격해왔다. 미국 내 주요 이동통신사까지 침투해 통화 기록, 문자 메시지, 음성사서함뿐 아니라 수사기관의 합법적 감청 시스템까지 접근했던 것으로 확인됐다. 이로 인해 미국 FCC는 통신사들에게 사이버보안 위험 관리 계획을 마련하고 매년 인증서를 제출하도록 요구한 바 있다.
공격자들은 최신 제로데이가 아닌 이미 공개되어 있고 패치가 제공된 네트워크 장비 취약점을 주로 악용했다. 대표적으로 ▲Ivanti Connect Secure 명령어 삽입(CVE-2024-21887), ▲Palo Alto PAN-OS GlobalProtect 원격코드실행(CVE-2024-3400), ▲Cisco IOS XE 인증 우회 및 권한상승(CVE-2023-20198, CVE-2023-20273), ▲Cisco Smart Install 원격코드실행(CVE-2018-0171) 등이 활용됐다.
솔트 타이푼(Salt Typhoon)은 침투 후 네트워크 장비의 접근제어목록(ACL)을 수정하고 비표준 포트에서 SSH를 활성화하며 GRE·IPsec 터널을 생성하는 방식으로 은폐된 지속성을 유지한다. 또한 시스코 장비의 ‘Guest Shell’ 컨테이너를 활용해 자체 도구를 배치하고 TACACS+ 인증 트래픽을 가로채거나 서버를 리다이렉트하기도 했다.
데이터 탈취에는 ‘cmd1’, ‘cmd3’, ‘new2’, ‘sft’ 등으로 불리는 고랭 기반 맞춤형 SFTP 도구가 사용됐으며, 이전에는 ‘JumbledPath’라는 맞춤형 멀웨어가 통신망 트래픽을 모니터링하는 데 활용된 사실도 확인됐다.
이번 캠페인은 미국뿐 아니라 영국을 포함해 최소 80개국 이상에서 확인됐으며, 일부 국가는 국가 핵심 인프라까지 침해당했다. 미 연방수사국(FBI)은 이를 “최근 가장 광범위한 첩보 작전 중 하나”로 규정했다. 중국은 모든 혐의를 부인하고 있다.
정보기관들은 우선적으로 알려진 취약점에 대한 신속한 패치 적용을 최우선 과제로 제시했다. 이후 장비 설정을 강화하고 관리 서비스는 전용 네트워크로 제한할 것을 권고했다. 또한 SSHv2, SNMPv3와 같은 안전한 프로토콜을 활용하고, Cisco Smart Install과 Guest Shell 기능은 불필요할 경우 반드시 비활성화해야 한다고 밝혔다.
특히 부분적인 보안 조치가 공격자에게 경각심을 주고 다른 경로로 재침투할 위험이 있으므로, 모든 경로에서 동시다발적으로 제거 작업을 진행해야 한다는 점을 강조했다.
[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
