최신 보안 사고 사례 분석 - 1

 

 

salt typhoon - 미국 통신사 대규모 해킹

salt typhoon 이라는 중국 연계 APT 그룹이 전 세계 주요 정부 기관 및 통신사(Telco/IPS) 를 대상으로 공격한 사건이다. 피해 국가는 미국(최소 9개 통신사 침해), 이탈리아, 영국, 남아프리카공화국, 태국, 미얀마 등 수십개국이다. 미국의 경우 최초 공개 보도는 2024년 9월에 나왔지만, 포렌식 분석 결과 Salt Typhoon은 최소 2023년 중반부터 이미 네트워크 안에 들어와 있던 것으로 파악된다. 즉 공개되기 전까지 1년 이상 무제한으로 접근하고 있었던 것이다.

 

 

 

주요 공격 프로세스 

1. 초기 정찰 (Reconnaissance)

- 인터넷에 웹 UI가 노출된 전 세계 Cisco 장비(약 12,000대)를 스캔한 후, 통신사 관련 장비(약 1,000대)만 정밀하게 선별하여 타깃팅

2. 초기 침투 (Initial Access)

- 새로운 제로데이(Unknown) 취약점보다는 공개된 기존 취약점(CVE-2018-0171 등)과 출처 미상의 탈취된 로그인 계정 정보를 주로 사용하여 시스템에 침입

3. 권한 상승 및 설정 조작

- 장비 내부의 '게스트 쉘(Guest Shell)' 기능을 활성화하여 명령어를 실행하고, 접근 제어 목록(ACL)을 수정하거나 숨겨진 관리자 계정을 생성하여 보안 탐지를 우회

4. 내부 침투 및 측면 이동 (Lateral Movement)

- 한 통신사에서 해킹한 장비를 '경유지(Hop point)'로 삼아 다른 통신사의 네트워크 장비로 넘겨짚어 가는 기기 간 피보팅(Machine-to-Machine Pivoting)을 수행. 이때문에 한 곳이 뚫리면 연쇄적으로 방어선이 무너졌다.

5. 데이터 유출 (Exfiltration)

- 자체 제작한 악성코드 점블드패스(JumbledPath)'를 사용해 네트워크 패킷을 원격 캡처하고, Cisco 장비에 GRE 터널을 뚫어 데이터를 일반 트래픽처럼 숨겨서 유출(캡슐화)

 

 

 

근본 원인 분석

1. 패치 안 된 취약점 방치

Cisco Talos의 2025년 2월 분석에 따르면, 공격자들은 제로데이가 아니라 이미 공개된 취약점을 악용

• CVE-2023-20198 (CVSS 10.0) : Cisco IOS XE 웹 인터페이스의 인증 우회 취약점. 인증 없이 관리자 계정을 만들 수 있다.
• CVE-2023-20273 (CVSS 7.2): 루트 권한까지 상승 가능

2. 합법적인 감청 시스템(CALEA)이 뚫림

• Salt Typhoon은 CALEA(통신 보조 법 집행법)에 의해 통신사들이 의무적으로 구축한 합법적 감청 시스템에 접근했다. 이 시스템은 레거시 플랫폼, 컴플라이언스 툴, 서드파티 벤더 통합이 뒤섞여 있어서 수많은 취약 지점이 존재했고, 일반 고객 데이터 시스템보다 보안 관리가 훨씬 허술했다. - 공격의 핵심은 제로데이가 아니라, CALEA 감청 아키텍처 자체의 구조적 허점을 체계적으로 파고든 것.
• 훔친 정상 자격증명(크리덴셜) 사용 - 공격자들은 정상적으로 탈취한 크리덴셜로 네트워크에 합법적인 사용자처럼 로그인했기 때문에, 기존 보안 솔루션이 탐지하기 어려웠다.
• 감청 시스템의 보안 관리 사각지대 - 감청 시스템은 일반 고객 플랫폼과 별도로 관리되어, 성숙한 사이버보안 거버넌스 프레임워크 밖에 놓여 있었고, 고객 데이터 보호에는 신경 쓰면서, 감청 인프라 보안은 방치했다.

 

 

피해 규모

FBI는 실제 통화 내용과 문자가 직접 감청된 인원은 100명 미만이라고 밝혔지만, 메타데이터(통화 상대, 시간, 위치) 수집 피해자는 이보다 훨씬 많다. 트럼프, JD 밴스의 전화기와 해리스 대선 캠프 관계자 통화까지 접근되었다. 또, FBI가 감청 중이던 수사 대상 목록에도 접근했을 가능성이 있다.즉, 중국 입장에서는 "FBI가 누굴 감시하는지"를 알 수 있었던 것. 진행 중인 수사들은 전면 재검토가 필요해졌고, 정보원과 내부고발자들이 노출됐을 위험이 있다.