보안 위협 헌터들이 중국 정부의 지원을 받는 해킹 그룹 Salt Typhoon과 관련된 45개의 미신고 도메인을 새롭게 발견했습니다. 일부 도메인은 2020년 5월로 거슬러 올라가며, 2024년에 발생한 대규모 통신 인프라 해킹 사건이 단발적인 공격이 아닌 장기적이고 체계적인 사이버 첩보 작전의 일부임을 보여줍니다. The Hacker News의 보도에 따르면, 이들 도메인은 또 다른 중국 해킹 그룹인 UNC4841과 인프라가 겹치는 것으로 밝혀졌으며, 이는 국가 차원에서 지원되는 사이버 작전이 얼마나 정교하고 집요하게 수행되는지를 증명합니다. 이번 발견은 전 세계 핵심 인프라를 겨냥한 장기적 사이버 스파이 캠페인의 심각성을 다시 한번 부각시킵니다.
Salt Typhoon APT 그룹의 기원과 정체
Salt Typhoon은 중국 국가안전부(MSS)의 지원을 받는 것으로 추정되는 지속적 위협(APT, Advanced Persistent Threat) 그룹입니다. 사이버 보안 업체마다 이 그룹을 다른 이름으로 부르는데, 카스퍼스키(Kaspersky)는 Ghost Emperor, ESET은 FamousSparrow, 트렌드마이크로(Trend Micro)는 Earth Estrie, 맨디언트(Mandiant)는 UNC2286으로 명명했습니다. 마이크로소프트(Microsoft)는 중국 정부가 지원하는 모든 해킹 그룹을 “Typhoon”이라는 명칭으로 통합 관리하며 이 그룹을 Salt Typhoon으로 지정했습니다.
이 그룹은 높은 조직력과 세분화된 팀 구조를 갖추고 있어, 각 팀이 특정 산업군이나 목표에 따라 역할을 분담하며 작전을 수행합니다. 2020년부터 활동한 것으로 알려진 Salt Typhoon은 단순한 해킹 집단이 아닌, 정부 차원의 전략적 첩보 기관에 가까운 면모를 보입니다. 이들은 단기간의 파괴적 공격보다는 은밀한 침투와 장기간의 잠복을 통해 목표 네트워크에서 정보를 수집하는 방식으로 작전을 이어갑니다.
주요 목표와 활동 방식
Salt Typhoon의 주력 타깃은 미국 정부 기관, 주요 기반 시설, 대통령 및 부통령 후보 등 고위 인사를 포함한 정치적 인물입니다. 또한 글로벌 민간기업을 상대로 대규모 데이터 탈취 및 첩보 수집을 수행합니다. 이 그룹의 전략은 단순한 해킹을 넘어, 정보 수집 및 반첩보 작전에 집중되어 있어 국제 사회에 심각한 위협이 되고 있습니다.
Salt Typhoon은 은폐 기술과 네트워크 침투 전략이 매우 정교하며, 한 번 침투한 시스템에서 오랜 시간 탐지를 피하면서 정보를 축적합니다. 이로 인해 공격 대상은 자신들이 이미 감시당하고 있다는 사실조차 모른 채 장기간에 걸쳐 기밀을 빼앗기게 됩니다.
가짜 인물 신분 활용: Monica Burch 사례
보안 연구원들은 Salt Typhoon이 공격 인프라 구축을 위해 정교한 가짜 신분을 만들어 악성 도메인을 등록한 사실을 밝혀냈습니다. 대표적으로 “Monica Burch”라는 가짜 인물이 “1294 Koontz Lane, Los Angeles, CA, US”라는 존재하지 않는 주소를 사용해 5개의 악성 도메인을 등록했습니다. 사용된 이메일 주소는 “oklmdsfhjnfdsifh@protonmail.com”이며, 관련 도메인은 clubworkmistake[.]com, newhkdaily[.]com, onlineeylity[.]com, toodblackrun[.]com, unfeelmoonvd[.]com입니다.
이 사례는 단순한 위장 수법을 넘어, Salt Typhoon이 미국식 이름과 가짜 주소, 보안 이메일 서비스(ProtonMail)를 활용해 합법적인 인터넷 인프라로 위장하고 있다는 사실을 보여줍니다. 이 외에도 “Tommie Arnold”와 “Shawn Francis”라는 가짜 인물이 마이애미 주소를 사용하여 악성 도메인을 등록한 사례가 밝혀졌습니다.
UNC4841과의 인프라 겹침
보안 기업 Silent Push의 연구원들은 Salt Typhoon과 UNC4841 간의 중요한 인프라 겹침을 밝혀냈습니다. UNC4841은 2023년 Barracuda Email Security Gateway 취약점을 악용해 알려진 중국 지원 해킹 조직으로, 이 두 그룹 간의 연관성은 단순히 몇 개의 도메인을 공유하는 수준을 넘어섭니다. 이들은 정부기관 및 민간 기업 네트워크를 대상으로 한 장기 첩보 작전을 수행하며, 인프라와 기술적 자원을 공유하는 것으로 보입니다.
이 발견은 두 그룹이 완전히 다른 조직이 아니라 중국 국가안전부 산하의 다양한 작전 부대일 가능성을 높입니다. 즉, 이들은 같은 프로그램 내에서 특화된 임무를 수행하는 개별 유닛으로서 서로 자원을 공유하며 활동하고 있을 수 있습니다. 이를 통해 중국의 국가적 사이버 작전이 얼마나 체계적이고 전략적으로 운영되는지가 드러났습니다.
결론: 국가 주도의 글로벌 위협
Salt Typhoon은 단순한 해킹 그룹을 넘어, 국가 차원의 사이버 전쟁 전략을 상징하는 대표적 사례입니다. 이들의 활동은 각국 정부 및 기업이 기존의 보안 체계를 재검토하고, 보다 정교한 위협 모델을 구축할 필요성을 강조하고 있습니다. 이번에 공개된 45개의 악성 도메인과 가짜 신분 등록 전략, 인프라 공유 사실은 국제 사회가 국가 지원 사이버 첩보 작전에 대응하기 위해 협력해야 할 이유를 명확히 보여줍니다.