“중국발 사이버 활동이 전방위 증가··· 능력도 고도화” 크라우드스트라이크

모든 산업 분야의 조직을 대상으로 한 중국의 사이버 스파이 활동이 전 세계적으로 크게 증가하고 있다는 경고다. 크라우드스트라이크의 연구진은 2024년 한 해 동안 전 세계적으로 중국 위협 행위자들의 침입이 평균 150% 증가했으며, 일부 부문에서는 2~3배 급증했다고 밝혔다. 연구진은 2024년에 중국에서 시작된 새로운 사이버 스파이 그룹 7개를 확인했으며, 이들 중 다수는 특화된 표적과 도구 세트를 사용한 것으로 분석됐다.

크라우드스트라이크는 2025 글로벌 위협 보고서에서 “2024년 중국과 연계된 적대 세력들이 점점 더 대담한 표적, 은밀한 전술, 그리고 보다 전문화된 작전을 보였다. 그들의 근본적인 동기는 중국의 지역적 영향력 확대, 특히 궁극적으로 대만과의 통일이라는 목표에 대한 욕구일 가능성이 높다”라고 밝혔다.

이 보고서는 또한 중국 그룹들이 중국 사이버 스파이 활동의 오랜 특징인 맬웨어 도구를 계속 공유하고 있다며, 대표적인 예로 키플러그(KEYPLUG) 백도어를 언급했다. 이 밖에 중국과 연계된 행위자들이 데이터 수집을 위해 클라우드 환경에 점점 더 집중하고 있으며, 반격에 대한 회복력도 향상되고 있다고 보고서는 전했다.

중국의 사이버 능력이 고도화한다는 신호

크라우드스트라이크는 중국의 사이버 스파이 활동이 갈수록 더 강력해지는 배경에 2014년 시진핑 주석이 중국을 사이버 강국으로 만들 것을 촉구한 이후 10년 동안 전략적 투자가 있었던 사실이 있다고 지목했다.

중국의 관련 노력에는 숙련된 사이버 인력을 양성하기 위한 대학 프로그램에 대한 투자, 인민해방군(PLA), 공안부(MPS), 국가안전부(MSS) 사이버 부대에 숙련된 운영자와 인프라를 제공하기 위한 민간 부문 계약, 익스플로잇 개발 프로그램을 촉진하기 위한 국내 버그 헌팅 및 깃발 뺏기(capture-the flag) 대회 운영, PLA 및 MSS 사이버 운영자가 고유한 도구와 기술을 습득할 수 있는 업계 네트워킹 이벤트 등이 있다.

크라우스트라이크 연구진은 “이러한 투자가 중국 관련 침입 작전의 운영 보안(OPSEC)과 전문화를 강화하는 데 기여했을 가능성이 매우 높다. 공격자들은 공유 도구, 훈련 파이프라인, 정교한 맬웨어 개발 등을 포함하는 광범위한 생태계의 지원을 받아 중요한 네트워크 내에 미리 자리를 잡곤 한다”라고 밝혔다.

주요 섹터에 대한 새 사이버 작전

역사적으로 중국 사이버 스파이 그룹은 정부, 기술, 통신 부문의 조직을 주로 표적으로 삼았으며, 2024년에도 그 추세가 지속됐다. 각 국가의 정부 조직은 사실상 전 세계 모든 지역에서 중국과 연계된 위협 행위자의 표적이었으며, 중국 국가안전부(MSS)와 연계된 사이버 부대인 솔트 타이푼(Salt Typhoon)은 최근 몇 달 동안 미국의 주요 통신 및 ISP 네트워크를 손상시켜 헤드라인을 장식했다. 이러한 유형의 표적은 아시아와 아프리카에서도 흔히 발생하고 있다.

그러나 지난해 중국과 관련된 침입 건수가 가장 많이 증가한 분야는 금융 서비스, 미디어, 제조, 산업, 엔지니어링 분야였다. 2023년 대비 200~300%의 성장률을 기록했다. 전반적으로 침입 건수가 증가한 가운데, 새로운 중국 사이버 스파이 그룹의 수도 증가했다는 분석이다.

한편 크라우드스트라이크가 추적하는 세 개의 중국 그룹인 리미날 팬더(Liminal Panda), 락스미스 팬더(Locksmith Panda), 오퍼레이터 팬더(Operator Panda )는 통신 기관을 표적으로 삼아 해킹하는 데 특화된 것으로 관측됐다.

리미날 팬더는 통신 네트워크에 대한 광범위한 지식과 여러 지역으로 침입을 이동하고 시작하기 위해 공급자 간의 상호 연결을 이용하는 방법을 사용했다. 락스미스 팬더는 인도네시아, 대만, 홍콩에 집중하는 그룹으로, 기술, 게임, 에너지 회사, 그리고 민주주의 운동가들을 대상으로 한다는 분석이다.

오퍼레이터 팬더는 크라우드스트라이크가 솔트 타이푼으로 부르는 그룹의 이름인 것으로 보이며, 시스코 스위치와 같은 인터넷 연결 기기를 악용하는 데 특화되어 있다. 이 그룹은 통신 사업자 외에도 전문 서비스 회사도 표적으로 삼았다.

볼트 팬더(Vault Panda)와 엔보이 팬더(Envoy Panda)는 정부 기관을 대상으로 하는 두 그룹으로 추정됐다. 볼트 팬더는 금융 서비스, 도박, 기술, 학술 및 국방 기관을 대상으로 하는 반면, 엔보이 팬더는 아프리카와 중동 지역의 외교 기관에 초점을 맞추고 있다는 설명이다.

크라우드스트라이크에 따르면 볼트 팬더는 ‘KEYPLUG’, ‘Winnti’, ‘Melofee’, ‘HelloBot’ 및 ‘ShadowPad’와 같이 중국 위협 행위자들이 공유하는 많은 악성 코드 군을 사용했다. 이 그룹은 공개 웹 애플리케이션의 취약점을 정기적으로 악용하여 초기 액세스를 확보하곤 했다. 한편, 엔보이 팬더는 ‘Turian’, ‘PlugX’, ‘Smanager’를 사용하는 것으로 알려졌다. 이 밖에 ‘PlugX’(일명 Korplug)는 중국과 연계된 사이버 스파이 그룹이 사용하는 가장 오래된 원격 액세스 트로이 목마 중 하나로, 2008년에 처음 등장했다.

중국 위협 그룹들 사이에 공유되는 또 다른 자원은 트래픽을 라우팅하고 스파이 활동을 은폐하는 데 사용되는 수천 개의 손상된 IoT 장치와 가상 사설 서버로 구성된 이른바 ORB(Operational Relay Box) 네트워크다. 이러한 네트워크는 봇넷과 유사하지만 주로 프록시로 사용되며, 주로 중국에 기반을 둔 독립 계약자가 관리한다. 사용 중인 노드의 IP 주소가 수명이 짧은 경우가 많기 때문에 출처 추적이 복잡하다는 특징을 보인다.

크라우드스트라이크 연구진은 “(타국의) 사법 기관이 ORB 네트워크를 방해하려는 시도에도 불구하고, 중국과 연계된 적대 세력들은 계속해서 이러한 자원을 그들의 작전의 핵심 요소로 이용하고 있다”라고 기술했다.

더 나은 신원 관리와 공격성 감안한 패치 적용

작년에 가장 흔하게 사용된 침입 방법 중 일부는 웹 애플리케이션이든 네트워크 기기든, 공용 자산에 대한 자격 증명 손상, 잘못된 구성, 패치되지 않은 취약점이었다.

연구진에 따르면 이제 단순히 다중 인증에 의존하는 것만으로는 소셜 엔지니어링과 사칭을 통해 기존 관계를 악용하는 복잡한 침해를 방지할 수 없다. 조직은 조건부 액세스 정책을 사용하고, 정기적으로 계정 활동을 검토하고, 계정 해킹을 나타낼 수 있는 비정상적인 사용자 행동의 징후를 모니터링해야 한다.

또한 공격자들은 기술 블로그에 등장한 새로운 기술과 개념 증명(proof-of-concept) 공격을 신속하게 채택하여 다단계 공격 체인에 결합하곤 한다. 인터넷에 연결된 시스템의 취약점을 우선적으로 관리해야 하며, 공개적으로 알려진 취약점이나 해당 업계를 표적으로 삼는 알려진 취약점이라면, 높은 심각도 점수를 받지 않더라도 우선적으로 관리해야 한다고 연구진은 강조했다.

연구진은 “예기치 않은 충돌이나 권한 상승 시도 등 취약점 연쇄 공격의 미묘한 징후를 모니터링하면 공격이 진행되기 전에 이를 감지하는 데 도움이 될 수 있다”라고 밝혔다.
dl-ciokorea@foundryco.com