AT&T와 Verizon, Salt Typhoon 보안 평가 보고서 공개 차단

 (reuters.com)
1P by GN⁺ 4시간전 | ★ favorite | 댓글 1개
  • 미국 통신사 AT&T와 VerizonSalt Typhoon 관련 보안 평가 보고서 공개를 막고 있음
  • 미 상원의원이 두 회사가 정부의 사이버 보안 조사 결과 공개를 방해하고 있다고 지적
  • 해당 보고서는 중국과 연계된 해킹 그룹 Salt Typhoon의 활동 평가를 다루는 것으로 알려짐
  • 두 통신사는 기밀 유지와 보안상의 이유로 보고서 공개를 거부한 것으로 전해짐
  • 이번 사안은 국가 안보와 민간 통신 인프라의 투명성 문제를 둘러싼 논란으로 이어짐

Salt Typhoon 보안 평가 보고서 공개 논란

  • AT&T와 VerizonSalt Typhoon 관련 보안 평가 보고서의 공개를 차단하고 있음
    • 보고서는 미국 내 통신 인프라에 대한 사이버 위협 평가를 포함
    • 정부 기관의 조사 결과로 작성된 문서임
  • 미 상원의원은 두 통신사가 국민의 알 권리와 사이버 보안 투명성을 저해하고 있다고 비판
    • 보고서에는 중국과 연계된 해킹 그룹 Salt Typhoon의 활동 분석이 포함된 것으로 알려짐
  • 두 회사는 보안상의 이유와 기밀 유지 의무를 근거로 공개를 거부
    • 구체적인 법적 근거나 세부 내용은 공개되지 않음

정치적 및 산업적 파장

  • 이번 사건은 국가 안보와 민간 통신사의 책임 범위를 둘러싼 논쟁으로 확산
    • 정부와 민간 간의 정보 공유 체계에 대한 문제 제기 발생
  • 통신 인프라의 사이버 위협 대응 체계가 충분한지에 대한 의문 제기
    • 보안 평가 결과의 비공개가 향후 정책 논의에 영향을 미칠 가능성 있음
  • 현재까지 보고서의 구체적 내용이나 공개 일정은 확인되지 않음
GN⁺ 4시간전  [-]
Hacker News 의견들
  • 예전에 3G 데이터 노드의 합법적 감청(lawful intercept) 기능 명세서를 작성한 적이 있음
    핵심 설계 원칙은 네트워크 운영 회사를 신뢰하지 않는 구조였음. 그래야 조직범죄의 영향으로부터 직원들을 보호할 수 있기 때문임
    감청은 법 집행기관의 LI 콘솔에서 시작되며, 네트워크 운영자는 이를 알지 못함. 트래픽의 약 3%까지 감청이 가능하도록 설계되어 있었고, 로그나 관리 도구에도 표시되지 않음
    하지만 만약 해커가 LI 콘솔을 침입하면, 설계상 탐지되지 않은 채로 특정 트래픽을 정밀하게 탈취할 수 있음
    여러 벤더가 LI 콘솔 소프트웨어를 공급하고 표준화된 프로토콜을 사용하기 때문에, 문제가 생겨도 책임을 특정하기 어려움
    • 미국 대형 통신사 네트워크 운영팀에서 일했는데, 일부 엔지니어들은 감청이 걸린 노드를 콜 플로우 분석을 통해 대략적으로 짐작하고 있었음. 완전히 숨겨진 건 아니었음
    • LI 콘솔이 정확히 무엇이며 어디에 설치되어 있는지 궁금함
    • 혹시 RAVEN 시스템을 말하는 것인지 의문임
  • 정부가 통신사들에게 합법적 감청 기능을 의무화했는데, 악의적인 행위자가 그 정부가 요구한 백도어를 악용함. 그럼에도 정부가 보안과 프라이버시를 운운하는 건 위선적임. 결국 더 나은 정치인을 뽑아야 함
    • 예전에 보안 컨설턴트로 일하면서, 감청용 하드웨어 장비를 만드는 회사를 담당했음. 이 장비는 통신사가 설치만 하면 정부 요구사항을 충족시키는 블랙박스 장비였음
      하지만 보안 테스트는 사용자 네트워크만 허용했고, 제품 자체는 절대 건드리지 말라는 지시가 있었음. 내부 보안 수준을 보면, 그 장비는 이미 오래전에 침해되었을 가능성이 높음
    • 정치인을 바꾸는 것도 중요하지만, 근본적으로 정부의 구조적 문제
      1. 문제를 잘못 이해한 채 법안을 제안 → 2) 통과되지만 새로운 문제 다수 발생 → 3) 그 문제를 해결하겠다고 다시 선거에 나감 → 4) 무한 반복의 구조임
    • 문제의 본질은 백도어 자체가 아니라, 텔코의 보안 부실임. 감청 시스템은 법적으로 존재해야 하지만, 대형 통신사는 복잡하고 보안 통제가 약함
      이런 환경은 국가 해커의 주요 표적이 되며, Salt Typhoon 사례가 이를 보여줌. 감청 시스템이 해킹당하지 않았더라도, 콜 라우팅이나 청구 시스템이 장악되면 매우 위험함
    • 정부가 프라이버시를 내세운다는 주장에 동의하지 않음. 실제로는 AT&T와 Verizon이 Mandiant의 보안 평가 보고서 공개를 막고 있음
    • 이 모든 내용이 추측인지, 이미 확인된 사실인지 궁금함
  • 이 모든 것은 1994년 제정된 CALEA(통신지원법) 덕분에 가능해졌음. 결국 정부가 만든 침입 경로를 스스로 감당해야 함. 이제는 이런 정부 의무 백도어를 제거해야 함
  • 10년 전 Verizon에서 일할 때, 외부 보안팀이 점검을 왔는데 Windows Jenkins 콘솔 하나로 3~4시간 만에 전체 네트워크를 장악했음. 그만큼 내부 보안이 허술했음
  • 지금은 중국을 비롯해 여러 국가와 개인들이 통신 감청 시스템에 접근할 수 있는 상황임
    정작 접근할 수 없는 사람은 일반 사용자뿐임
    이런 시스템은 결국 블랙메일 수집이나 정치적 목적의 사법 조작에 쓰일 뿐임. 이미 암호화 메시징이 널리 쓰이는데, 이런 감시는 불필요함
  • 이런 보고서 공개를 막는 것은 시스템 리스크 관리에 큰 타격임
    침해 경로가 공개되지 않으면 다른 인프라 업계는 완전히 블라인드 상태로 남게 됨. 기업 평판을 지키려다 공동 보안을 희생하는 꼴임
  • Datadome 스크립트가 없는 MSN 기사 링크텍스트 버전 링크를 공유함
    (놀랍게도 Microsoft가 HTTP로 서빙 중임)
    • HTTPS에서 HTTP로 회귀한 이유가 궁금함
  • 통신사들이 자신들이 만든 백도어와 관리 부실이 드러나는 걸 원치 않음
    무선 통신사뿐 아니라 Comcast, Cox, Charter 같은 가정용 ISP들도 더 심각하게 무능함. 여러 회사를 거치며 직접 경험했음
  • 이런 사태는 미국이 권위주의적 정책을 흉내내려다 실패한 사례
    보안·감시·기술력 모두에서 중국을 따라잡지 못하면서 오히려 내부를 약화시키고 있음
    경제난과 대규모 해고로 인한 두뇌 유출이 가속화되며, 이는 중국의 기술적 우위를 더 강화시키는 악순환임
    • 지금 상황은 마치 냉전 시대의 미·소 대립이 뒤바뀐 듯한 느낌임
답변달기