중국 해킹그룹 ‘실크 타이푼’, 클라우드 생태계로 사이버공격 무대 확대…SaaS 및 파트너 권한 악용

중국과 연계된 사이버 해킹 조직 ‘실크 타이푼(Silk Typhoon)’(마이크로소프트 명칭) 또는 하프늄(Hafnium), 머키 팬더(Murky Panda)(크라우드스트라이크 명칭)는 기존의 외곽 네트워크 침투에서 벗어나 퍼블릭 클라우드 생태계 내부로 공격 전술을 확장하고 있다. 이들은 SaaS 및 파트너 권한을 악용해 북미 지역의 주요 조직을 은밀히 공격하고 있으며, 그 과정에서 고도의 ‘신뢰 관계’ 침해 기법을 사용하고 있다.

이 조직은 인터넷에 노출된 장비를 먼저 장악한 뒤, SaaS 플랫폼과 클라우드 아이덴티티 구조를 분석해 클라우드 서비스에서 하나의 독립된 고객 영역으로 이동한다. 2023년 이후 이들의 공격은 정부, 기술, 학계, 법률, 전문 서비스 분야의 기관을 대상으로 공격이 집중됐다.

특히 CVE-2023-3519로 알려진 시트릭스 넷스케일러(NetScaler) 취약점은 대표적이다. 인증 없이 원격 코드 실행이 가능한 이 취약점은 공개 이후에도 장기간 패치되지 않아 광범위하게 악용됐다.

또한 SaaS 공급업체의 취약점을 이용한 사례도 확인됐다. 일부 공격에서는 애플리케이션 등록 비밀키를 탈취해 고객 클라우드 테넌트에 합법적인 서비스 계정으로 로그인했다. 이를 통해 탐지를 회피하면서 이메일과 데이터에 접근할 수 있었다.

올해 보안 업계에서 주목받은 CVE-2025-3928 취약점 역시 관련성이 언급됐다. 해당 취약점은 컴볼트 웹 서버에서 발견된 것으로 알려졌으며, 고객사의 마이크로소프트 365 계정 침해와 연결된 사례가 있었다.

실크 타이푼은 마이크로소프트 클라우드 솔루션 파트너 계정을 탈취해 고객 테넌트에 글로벌 관리자 권한을 행사한 사례도 있다. 이들은 새로운 사용자와 비밀키를 등록해 다층적인 지속성을 확보하고, 이메일 탈취 등 정찰 활동을 수행했다.

마이크로소프트는 이 조직이 API 키, 높은 권한의 자격증명을 확보한 뒤 원드라이브, 셰어포인트, 이메일을 포함한 여러 클라우드 자원을 그래프 API와 EWS 등을 통해 빼돌린다고 분석했다. 특히 멀티 테넌트 애플리케이션을 악용해 여러 조직 간을 가로지르는 침투도 가능했다.

크라우드스트라이크는 실크 타이푼이 ‘클라우디드호프(CloudedHope)’라는 맞춤형 악성코드를 사용한다고 밝혔다. 이는 고(Go) 언어로 개발된 리눅스 기반 원격 접근 트로이목마(RAT)로, 오픈소스 난독화 도구를 활용한 정교한 은폐 기능과 보안 분석을 회피하기 위한 속임수 기능을 갖추고 있다.

실크 타이푼이 활용하는 ‘신뢰 관계 공격’은 원래 편리한 서비스 연동을 위해 만들어진 구조를 악용한다. 서비스 프린시펄, 앱 등록, 교차 테넌트 권한과 같은 기능이 국가 차원의 공격까지 고려하지 않고 설계된 만큼, 하나의 취약한 연결고리만 뚫려도 여러 환경이 연쇄적으로 무너질 수 있다. 이 때문에 탐지 및 차단이 상대적으로 늦어지고, 스파이 활동은 오랫동안 지속될 수 있다.

보안 전문가들은 클라우드 환경의 규모와 신뢰 모델이 공격자에게 매력적인 기회를 제공한다고 경고했다. SaaS 제공업체나 프린터, CCTV, 자동화 프로그램 같은 기계나 앱에 만들어주는 공식 출입증 등이 침해되면 수많은 하위 조직이 연쇄적으로 피해를 입을 수 있고, 클라우드 API와 관리 권한은 정상적인 활동처럼 보이기 때문에 탐지가 쉽지 않다는 것이다.

그러나 동시에 클라우드 환경은 빠른 패치와 다계층 로그 생성으로 인해 공격자에게도 제약을 준다. 전문가들은 이러한 신호들을 결합해 탐지 체계를 강화할 필요가 있다고 강조한다. 궁극적으로는 조직이 외부 애플리케이션과 SaaS 공급업체에 두는 ‘암묵적 신뢰’ 자체를 재검토해야 하며, 아이덴티티 계층에서의 제로트러스트 보안이 실질적으로 구현되지 않는 한 이러한 공격은 계속될 것이라고 지적하고 있다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명

(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)

*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.

△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)

△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정

△사전등록 필수: 클릭

(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.

참석확정 문자와 메일 받은 분만 참석 가능)

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★