미 FBI 사이버 요원: Salt Typhoon이 거의 모든 미국인을 해킹함
(theregister.com)- Salt Typhoon 해킹 조직이 수년간 미국 통신망을 침투하여 수백만 명의 민감한 정보를 대규모로 수집함
- 이번 공격은 미국인을 무차별적으로 표적으로 삼은 전례 없는 규모의 스파이 활동임
- 중국 정부와 연계된 Salt Typhoon의 지원 기업들은 80개국 이상을 침해, 약 200개 미국 기관이 피해를 입었음
- 공격의 결과, 수백만 휴대폰 사용자의 위치 추적, 인터넷 트래픽 감시, 일부 전화 통화 감청까지 발생함
- FBI는 향후 더 정교한 사이버 위협이 지속적으로 증가할 것으로 보고, 보안 강화의 필요성을 경고함
Salt Typhoon 스파이 캠페인 개요
- Salt Typhoon이라는 중국 정부 지원 해킹 조직이 수년간 미국의 대형 통신망에 침투하여, 미국인 다수의 개인정보를 대량으로 수집한 사실이 미 FBI에 의해 확인됨
- FBI 사이버 부국장 Michael Machtinger는 대중 매체와의 인터뷰에서 이번 스파이 공격이 거의 모든 미국인의 정보를 훔쳤을 가능성을 언급함
- 기존에는 민감하지 않은 개인은 표적이 아닐 것이라는 인식이 있었으나, Salt Typhoon으로 인해 누구나 사이버 공격의 표적이 될 수 있음이 드러남
공격 범위 및 배후
- Salt Typhoon의 사이버 스파이 활동은 최소 2019년부터 시작되어, 2023년 가을 미국 정부에 의해 발견됨
- 미국 외에도 12개국 정부 기관이 이번 공격의 심각성에 대해 공동 경고를 발표함
- 침입 범위는 미국 주요 통신사 9곳, 정부 네트워크를 넘어서 80여 국가의 기관으로 확대됨
- 약 200개 미국 조직이 피해를 입었으며, Verizon, AT&T 등의 주요 통신사도 포함됨
- 배후 기업으로는 Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology, Sichuan Zhixin Ruijie Network Technology 등이 지목됨
- 이들 기업은 중국 국가안전부 및 인민해방군에 사이버 솔루션을 제공함
공격 방식과 피해 유형
"중국이 이러한 대리인을 통해 벌이는 행위는 사이버 스파이 업계의 통상적 수준을 훨씬 벗어난 무분별하고 위험한 행동임"
- Machtinger는 이번 사건을 미국 내 유례없는 중대한 사이버 스파이 침해라고 평가함
- Salt Typhoon은 무분별한 대규모 표적 지정으로 수백만 명의 모빌폰 사용자의 지리 위치 정보, 인터넷 트래픽, 심지어 일부 전화 통화 내용까지 감청
- 피해 범위에는 일반 국민은 물론, 전‧현직 대통령 행정부 고위 인사 100명 이상이 포함됨
- 일부 언론은 대통령 Donald Trump, 부통령 JD Vance도 표적이 되었다고 보도함
- 특히 고위급 인사는 실제 콘텐츠 가로채기 등 더 깊은 수준의 정보 침탈 피해 발생
유사 중국발 사이버 위협
- Salt Typhoon 외에도 Volt Typhoon 조직이 수백 개 노후 라우터를 해킹해 봇넷을 구축, 미국 중요 인프라 네트워크에 접근함
- 나중에 파괴적 사이버 공격 준비 목적이었음이 확인됨
- Silk Typhoon 집단은 10여 년간 IT와 클라우드 공급자를 공격하여, 정부, 기술, 교육, 법률 등 다양한 분야의 데이터를 탈취함
그 외 글로벌 사이버 위협
- Machtinger는 중국 외 러시아, 이란, 북한 그리고 국내외 사이버 범죄 조직 및 랜섬웨어 집단이 매일같이 공격을 지속하고 있음을 지적함
- 이와 같은 행위자들은 점점 더 고도화된 공격 방식을 도입할 것으로 예상됨
- 보안 의식 제고, 시스템 최신화, 노후 장비 교체 등 적극적 사이버 보안 조치의 필요성을 강조함
Hacker News 의견
-
보안 커뮤니티가 반드시 법적 감청(Lawful Access)을 쉽게 자동화할 경우, 나쁜 쪽에서 반드시 네트워크를 침투할 것이라고 경고했음
지금은 중국이 CALEA로 약화된 시스템을 이용해 미국 전체 네트워크 데이터를 가져가는 상황임
예전에 NSA가 구글 백본을 도청했던 사례나, Room 641A, MAINWAY, Poindexter와 TIA, Palantir 사례를 보면 미국도 예외 아니었음
NSA는 원래 방어와 공격을 모두 했는데, 이미 수십 년 동안 공격에만 집중하는 집단이 됐고, 이런 행위를 미국만 할 수 있을 거라 믿은 사람들은 너무 순진함-
자물쇠가 달린 문은 열쇠가 있는 사람만 열 수 있음...
하지만 열쇠 없이도 자물쇠를 따거나, 문을 들어 올리거나, 경첩을 빼거나, 문을 부수거나, 문 밑이나 위로 통과하거나, 열쇠 가진 사람을 꾀어서 열게 하거나, 상상력만 있으면 더 많은 방법이 있음 -
실질적으로 어떻게 뚫렸는지 궁금함
CALEA를 지원하는 소프트웨어 벤더가 뚫렸는지, 아니면 여러 통신사가 사용하는 Mediator Device 벤더가 공격받았는지 추측임
MD(Mediator device)는 흐름 캡처(와이어탭 요청)와 pcap 증거 관리 역할을 하는 소프트웨어 장비임
MD는 일반적으로 네트워크 장비에 SNMP 폴링으로 (r)span 포트를 활성화시키고, 모든 데이터를 흡수해 저장함
기술적 정보가 많지 않아 어떤 벤더인지, 어떤 장비가 뚫렸는지 궁금함
LI(Lawful Intercept)에 대한 자세한 설명은 여기 참고 -
NSA에서 일하던 많은 사람들이 이제는 NSO Group 같은 민간 보안 회사를 위해 일하는 실정임
그렇게 된 상황을 보면 무섭기도 하지만, 그들이 받은 연봉 수준을 보면 나 역시 그 제안을 받으면 고민했을 것임
현장 뒷이야기가 궁금하다면 Nicole Perlroth의 책 'This Is How They Tell Me the World Ends'를 추천함
출간 후 많은 사건이 더 일어났지만, 현장을 이해하는 데 좋은 참고 자료임 -
어쩌면 이 어처구니없는 결정은, 권력을 가진 사람들이 외부 위협보다 자국 시민들을 더 두려워해서 그런 것일 수 있음
-
도덕적 우월감을 가진 바보들임
공격적인 작전을 잊은 게 아니라, 애초에 그런 일이 있었는지도 모르거나, 관심도 없었음
-
-
나는 3G GGSN 노드에 대해 법적 감청 스펙을 작성했던 경험이 있음
옛날 얘기지만, 그 시절 스펙은 네트워크 관리 시스템에도 감청 기록이 남지 않게 설계됐음
그래서 통신사가 감청 중인지 알 수 없고, 법 집행기관이 LI 콘솔로 직접 감청 명령을 내리게 되어 있음
당시 기준 트래픽의 최대 3%까지 감청 가능했으며, 대상을 포함해 통신사도 감청 사실을 인지하지 못하는 케이스였음
법적 감청 시스템이 해킹이 잘 되는 건 아니지만, 일단 뚫리면 악용되는지 탐지하기 매우 어려움
언제 어떻게 침해가 시작됐는지 아무도 확신하기 힘든 이유임- 네트워크 운영자가 법적 감청에 대한 감시 로그를 전혀 볼 수 없다는 점이 너무 위험해 보임
누군가가 침입해도 아무도 모를 것 같음
- 네트워크 운영자가 법적 감청에 대한 감시 로그를 전혀 볼 수 없다는 점이 너무 위험해 보임
-
이런 식으로 필수적인 정부 백도어를 네트워크 인프라에 설치한 결과가 현실임
이렇게 중요한 인프라에 보안이 허술했다는 게 믿기지 않음
OPM 해킹이나 CIA 온라인 드롭사이트 관리 실패를 보면, 이제는 정부의 보안 무능력에 전혀 놀랍지도 않음-
전화번호를 아예 사용하지 말까 심각하게 고민 중임
보안이 너무 취약하고, 전화번호가 사회보장번호만큼 신원 확인 수단으로 쓰이지만, 사실 꼭 가져야 할 필요는 없음 -
최상위 수준의 국가 지원 공격자들은 백도어 없이도 기술, 자원, 끈기 덕분에 웬만한 시스템을 모두 침투할 수 있음
무조건적 백도어 탓만 할 게 아니라, 더욱 강한 사이버 회복력과 더 뛰어난 방어 능력이 필요함
중국이 국가 차원에서 취약점 수집 체계를 만든 것에 대해 미국이 어떻게 대응할지 Atlantic Council의 최근 보고서를 읽어볼 만함
보고서 링크 -
컴퓨터는 절대 100% 안전해질 수 없고, 특히 국가 수준에서는 하드웨어 실제 접근이 쉽기 때문에 보안은 결국 돈 문제임 계속 '영(0)'이 늘어남
-
-
Salt Typhoon 사건의 경우, 드물게도 2024년에 대규모로 알려졌음에도 아직도 완전히 제어되지 않고 진행 중인 상황임
대부분 사건은 사후 분석을 통해 교훈을 공유하는데, 이번엔 아직도 공격자에게 네트워크가 장악돼 있고 데이터가 계속 유출되고 있음
관련 기사 -
CISA의 공식 발표 자료는 여기에서 볼 수 있음
-
Doge와 MAGA가 그 기관(CISA) 인력을 30% 줄였다고 함
지금 사이버보안과 인프라 보안이 더 중요한 시기인데 관료들 다 내보내는 게 참 시의적절(?)임
https://axios.com/2025/06/…">관련 기사 링크 -
직접적인 정부 권고문 링크: 여기 참고
-
-
“중국이 이런 행위를 통해 스파이 분야의 통상적 기준을 벗어난 무분별하고 위험한 행동을 한다”라는 발언이 있었는데, 대체 스파이의 ‘표준’은 뭘 뜻하는지 궁금함
-
미국 정보기관이 PRISM, Upstream 등으로 전 세계 통신을 모으는 걸 보면
여기서 ‘표준’이란 지금까지는 미국만이 이런 행위를 할 수 있었다는 뜻인 것 같음
이제 중국이 똑같은 수준의 경쟁자가 된 셈임 -
미국 정부만 자국민을 상대로 불법 대규모 감청을 할 수 있다는 ‘표준’을 말하는 것 같음
중국이 이런 행동을 하는 것에 대해 “이 녀석들이 감히 뭐지?”라는 반응임 -
무분별하게 대상을 가리지 않고 공격하는 ‘indiscriminate targeting’ 이야기를 하는 듯함
“중국은 이제 민감한 분야에 종사하지 않는 사람도 표적이 아님을 장담할 수 없는 시대가 됐음”이라고 FBI 사이버 부국장이 밝힘 -
나는 원래 스파이에 규범이나 룰북 같은 게 있는 줄 몰랐음
내 생각엔 “아무도 잡히지 않는 게 규칙”이 전부인 줄 알았음
내가 잘 모르는 것일 수도 있겠음 -
결국 머릿속에 있는, 말랑한 규칙일 뿐인 듯
-
-
이 보도와 관련해 정부 말고도 다른 신뢰할 수 있는 소스가 있는지 궁금함
이 사건이 충분히 일어날 만하다고 보이지만, 지나치게 거짓말이 많았던 역사를 보면
지금 정부에서 발표한 것만으로는 신뢰하기 어렵고, 당파색이 짙지 않은 제3자 출처가 더 설득력 있을 것 같음-
Verizon에서는 특정 정치인을 표적으로 삼았다고 말함
관련 링크 -
호주에 있는 내 보안 분야 친구 말로는, 중국은 미국 데이터의 거의 모든 걸 이미 갖고 있다고 말함
-
-
미국 정부는 앞으로도 감시만 점점 더 강화할 뿐임
-
미국 백악관과 FBI에 따르면, 중국 해커가 무차별적으로 공격해 수백만 명의 휴대폰 위치를 추적하고 인터넷 트래픽을 모니터링했으며, 일부는 통화 녹음까지 했다고 함
피해자에는 도널드 트럼프 전 대통령, JD Vance 부통령도 포함됐음
나는 이 감시가 기지국이나 인프라에 직접 연결해 이뤄졌을 거라 상상했지만, 위키피디아 페이지를 보니 서버 해킹이 실제 경로인 것 같음
AT&T 서버 같은 곳이 해킹된 걸까 궁금함
이런 케이스에서 내 데이터를 안 뺏기려면 방법이 있을까 고민임
VPN을 쓴다 해도 삼각측량으로 위치정보를 가져가면, 휴대폰을 아예 꺼놓지 않는 한 답이 없어 보임
출처 - Salt Typhoon 방법론-
이런 경우에 내 데이터를 덜 뺏기는 방법은, 전화번호를 일체 어떤 데도 쓰지 말고, SIM 카드는 데이터 용도로만 설정해 자주 교체/회전시키는 것 뿐임
-
GDPR 같은 데이터 판매/중개 관련 규제가 최소한 최악의 상황을 막아준다는 걸 새삼 느낌
이번 해킹도 결국 정보원이 해킹된 쪽에서 나온 듯하지만
사실 대부분의 데이터는 이미 ‘비회색시장’에서 합법적으로 구매 가능한 만큼 산업 구조 자체가 문제임
어느 기자가 공개 위치 데이터를 사서 정보기관 직원들을 찾는 실험도 했음
판매를 적게 한다 해도 결국 쉽게 해킹될 수밖에 없는 곳에 저장되는 한 한계임 -
트럼프 대통령, JD Vance 부통령도 피해자에 포함됐다는 대목이 있는데
기자가 좀 더 유쾌하게 앙겔라 메르켈에게 코멘트를 요청해봤으면 재밌었을 것 같음
-
-
이와 관련해, 이스라엘도 미국 통신 도청에 관여했다는 기사가 있음
이스라엘 정부 역시 중국과 같은 방법으로 미국 네트워크에 접근이 가능한 상황임