미국의 여러 연방 기관이 중국 정부 산하 해커 세력의 사이버 공격 피해 발생 사실을 경고했다.
사이버 보안 전문 매체 블리핑컴퓨터에 따르면, 미국 국가안전보장국(NSA), 사이버보안 인프라 안보국(CISA), 연방수사국(FBI)이 합동 사이버보안 권고문을 통해 중국 해커 세력이 패치 작업이 되지 않은 소호(small office/home office, SOHO) 오피스 라우터 및 대기업 네트워크를 공격했다고 발표했다.
중국 해커 세력은 네트워크 공격 후 피해자 기기를 명령 및 제어 서버, 프록시 시스템 등으로 사용했다. 이후 중요한 SQL 데이터베이스에 접근하고는 SQL 명령을 이용해, 다중 요소 인증(RADIUS) 서버에서 사용자와 관리자 신원 정보를 탈취했다.
합동 사이버보안 권고문에는 “해커 세력은 피해 기관이나 네트워크 서버 공급사의 서버에 초기 발자취를 남긴 뒤 사용자 개인과 기반 시설의 중요한 신원 정보를 확인해, 보안 인증과 검증, 관리 기능 등을 유지했다”라고 명시되었다.
NSA와 CISA, FBI 모두 정보보안 취약점 노출(CVE)이 발생한 기기 대부분 2020년 이후 중국 해커 세력이 사이버 공격 및 감시에 자주 악용한 기기라는 점에 주목했다.
NSA는 “해커 세력은 RADIUS 서버, 라우터 구성 등에서 유효한 계정과 민감 정보를 손에 넣은 뒤 네트워크로 돌아와 접근 권한 및 탈취 정보를 이용해 인증 과정을 끝내고는 라우터 서버에 명령을 실행했다. 그리고 순식간에 해커 세력이 제어하는 인프라로 경로를 지정하고 데이터를 수집했다”라고 설명했다.
중국 해커 세력이 2020년부터 공격을 개시한 주된 이유는 국가 주도 사이버 작전에서 유리한 입지를 차지할 정보를 손에 넣으려는 목적이다.
한편, 지금까지 중국 해커 조직의 사이버 공격 피해가 발생한 것으로 밝혀진 기관은 시스코(Cisco), 시트릭스(Citrix), 넷기어(Netgear), 펄스(Pulse) 등 10여 개 기업이다. NSA와 CISA, FBI는 이번 공격 피해 사례 발견 즉시 피해 기관의 보안 패치 작업을 지원했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
