[딜라이트닷넷] IT 공급망 뚫는 中해커…무법자 `실크타이푼` 누구?

실시간
뉴스

보안

[딜라이트닷넷] IT 공급망 뚫는 中해커…무법자 '실크타이푼' 누구?

디지털데일리 발행일 2025-03-18 10:54:46

김보민 기자

URL복사

[IT전문 미디어 블로그=딜라이트닷넷] 국가 배후 해킹 공격이 거세지고 있는 가운데, 중국 배후로 알려진 '실크타이푼(Silk Typhoon)'에 대한 관심이 집중되고 있다. 정보기술(IT) 공급망을 먹잇감으로 삼고 있는 이 스파이 조직은 주요국 기관 및 기업을 겨냥하고 있어 주의가 필요하다.

마이크로소프트(MS) 위협 인텔리전스 팀은 이달 블로그를 통해 중국 스파이 조직 실크타이푼의 전술 변화를 분석한 결과를 공개했다. MS는 "(실크타이푼은) 원격관리 도구와 클라우드 애플리케이션 등 일반적인 IT 솔루션을 대상으로 초기 접근(액세스) 권한을 얻은 뒤, 도난한 키와 자격증명을 사용해 고객 네트워크에 침투하고 있다"고 말했다.

MS에 따르면 실크타이푼은 스파이 활동에 집중하고 있는 중국 배후 위협 행위자로, 에지 디바이스에서 발견한 제로데이 취약점에 대한 익스플로잇(exploit)을 운영화할 역량을 갖춘 것으로 알려졌다. 침투할 수 있는 취약점을 발견하면 익스플로잇 단계로 바로 진입하는 것이 특징이다. MS는 "기회주의적 특성이 있다"고 평가했다.

실크타이푼은 IT 서비스 및 인프라, 원격 모니터링 및 관리(RMM) 기업, 관리서비스공급업체(MSP) 및 계열사 뿐만 아니라 의료, 법률 서비스, 고등교육, 국방, 정부, 비정부기구(NGO), 에너지 등 다양한 부문에서 표적을 삼고 있는 것으로 나타났다. 최근 미국을 대상으로 한 공격이 두드러졌고, 보안업계에서는 미국 이외 국가 또한 예외가 아니라는 경고가 제기된 바 있다.

미국은 중국 배후 해커들과 전쟁을 선포했다. 중국 정부와 연계된 중국 국적 해커가 미국 기업 및 지방자치단체(이하 지자체)를 대상으로 수백만 달러 피해를 줬다며, 관련 혐의로 기소를 진행한 것이다. 미국 워싱턴DC 연방 판사는 이러한 내용의 기소장을 지난 5일(현지시간) 공개했다. 기소장에 따르면 중국 정부와 관련된 해커 두 명은 2011년부터 미국 기반 테크회사, 싱크탱크, 방위산업체, 정부기관, 대학 등에 데이터를 빼낸 뒤 판매를 중개한 혐의를 받고 있다.

MS는 실크타이푼이 IT 공급망을 침투하는 데 능하고, 기술 이해도 또한 높다고 설명했다. 특히 "클라우드 환경이 배포·구성되는 방식을 이해하는 데 능숙하다"며 "성공적으로 측면 이동하고, 피해자 환경에서 데이터를 빼낼 수 있는 이유"라고 부연했다. 이어 "명령을 실행하고, 지속성을 유지하고, 피해자 환경에서 데이터를 탈취할 수 있는 많은 웹셸을 사용하고 있다"고 말했다.

침투 이후 위협 행위도 고도화한 것으로 나타났다. MS에 따르면 실크타이푼은 도난한 애플리케이션프로그래밍인터페이스(API) 키를 사용해, 침해 당한 회사의 고객에 접근하는 모습을 보였다. 관리자 계정을 통해 대상 기기에 정찰과 데이터 수집 활동을 수행했다. MS "특히 미국 정책 및 행정, 법 집행 조사, 법적 절차 문서에 관심을 보였다"고 말했다.

MS는 실크타이푼을 비롯해 국가배후 조직의 위협 활동이 활발해지고 있는 만큼, 정부기관과 기업 차원의 대처가 필요하다고 조언했다. MS는 "서버와 관련된 로그 활동을 검사해 비정상 활동이 있는지 확인하고, 애플리케이션에 높은 권한을 가진 계정이 있는 경우 서비스 주체를 검사해 새로 생성된 자격증명이 있는지 봐야 한다"고 강조했다. 이어 "신규 생성된 애플리케이션과 관련된 활동을 식별 및분석한 뒤, 관련 인증을 조사할 필요가 있다"며 "취약점으로 영향을 받는 기기에서 새로 생성된 사용자를 찾고, 패치되지 않은 기기를 대상으로 가상사설망(VPN) 로그를 조사해야 한다"고 말했다.