Chinese hackers exploited years-old software flaws to break into telecom giants

中 해커들, 오래된 소프트웨어 약점 이용해 전 세계 주요 통신사들 해킹

지난 몇 년 동안 중국 해커들이 세계 주요 통신회사들을 상대로 벌인 해킹 공격은 오랫동안 잘 알려진 취약점을 그대로 방치하는 게 얼마나 위험할 수 있는지를 잘 보여준다.

중국 정부가 고용한 해커들이 적어도 지난 2년 동안 사이버 스파이 활동을 지속하면서 전 세계 주요 통신회사 다수를 해킹한 것으로 최근 미국 국가 안보 기관들이 발표한 새 보고서를 통해 드러났다.

중국 해커들은 널리 사용되는 네트워킹 하드웨어의 오랫동안 잘 알려진 결정적 취약점을 파고들어 해킹 대상 장비에 침투했고, 일단 장비의 보안을 뚫고 내부 침입에 성공하면 그곳을 기반으로 다수의 민간과 정부 기관의 네트워크 트래픽에 완전히 접근할 수 있었다는 것이다.

단, 보고서는 해킹 공격의 피해를 받은 장비들 이름이나 피해 정도에 대해서 구체적으로 언급하지 않았다.

그러나 미국 정보기관 관계자들은 중국 해커들이 과거에도 거듭 공격 대상으로 삼았던 것으로 여겨지는 라우터(router)나 스위치(switch) 등 특정 네트워킹 장비들의 심각한 약점을 뚫고 들어가서 이들을 사실상 마음대로 통제할 수 있었다고 지적했다.

보고서는 “사이버 방어 담당자들은 이러한 장비들의 취약점을 자주 간과하며, 인터넷에 연결되는 서비스와 엔드포인트 장치에 대한 통상적인 소프트웨어 패치 관리에만 주력한다”고 경고했다.

이번 보고서는 미국의 정보기관들이 침묵하고 비밀을 유지하는 문화에서 벗어나 급진적으로 변화하고 있음을 보여주는 가장 최근의 사례라고 할 수 있다. 미 정보기관들은 이제 주기적으로 사이버보안 지침을 공표하고 있다. 이번 보고서는 피해자들이 수년 동안 네트워크에 침입해 온 해커들을 발견하고 몰아낼 수 있도록 도움을 주기 위해 작성되었다.

또한 보고서에는 더 큰 목적도 있다. 그것은 세계에서 가장 중요한 일부 네트워크에 기본적인 사이버보안 개선이 필요하다고 경고하는 것이다.

높은 공격 위험성

통신회사는 정보기관들의 입장에서는 매우 높은 가치를 가진 대상이다. 통신회사는 전 세계의 수많은 사설 네트워크뿐만 아니라 인터넷 인프라 대부분을 구축하고 운영한다. 통신회사를 해킹하는 데 성공하면 다른 중요한 것들까지 훔쳐볼 수 있는 더 큰 세상으로 향하는 문이 열리는 것이나 다름없다.

미국도 이런 해킹 공격을 벌인 적이 있다. 일례로 미국 국가안보국(National Security Agency)은 중국의 통신 및 인터넷 대기업 화웨이(Huawei)를 해킹한 적이 있다. 이들은 화웨이 회사 자체를 염탐하고 화웨이가 전 세계에 판매하는 네트워킹 및 통신 제품을 이용하기 위해 이런 일을 벌였던 것으로 알려졌다. 아이러니하게도 이 해킹 작전의 배경에는 중국이 화웨이의 하드웨어를 이용해 미국의 이익을 염탐할 수도 있다는 미국의 지속적인 두려움이 있었다.

보고서에 따르면 중국 해커들은 시스코(Cisco), 시트릭스(Citrix), 넷기어(Netgear) 같은 주요 공급업체의 네트워킹 장비를 공격했다. 해커들이 이용한 취약점은 모두 공개적으로 알려져 있던 취약점이었다. 그중에는 5년 전부터 알려져 있던 넷기어 라우터의 심각한 결점도 있었다. 이 결점을 이용하면 공격자는 인증 검사를 우회해서 원하는 코드를 실행할 수 있다. 그러면 장치를 완전히 장악해서 피해자의 네트워크를 제한 없이 들여다볼 수 있게 된다.

중국 해커들이 이러한 취약점을 이용해 해킹에 성공한 것은 소프트웨어 결함이 발견되고 공개된 지 몇 년이 지난 후에도 위험할 수 있다는 사실을 보여준다. 아직 공개되지 않은 취약점을 이용해서 해킹하는 ‘제로 데이 공격(Zero-day attack)’은 큰 피해를 가져올 수 있어서 주의를 필요로 한다. 그러나 기존에 알려져 있던 결점도 자원과 인력과 자금 제한으로 인해 네트워크와 장비를 업데이트하고 보안을 유지하기 어렵기 때문에 계속해서 큰 위협이 될 수 있다.

국가안보국의 고위 관리인 롭 조이스(Rob Joyce)는 이번 보고서가 해커들을 찾아내고 쫓아내는 단계적인 방법을 제시하기 위한 것이라고 설명했다. 그는 트위터에서 “중국 해커를 몰아내려면 해킹에 관한 기술과 지식을 이해하고 있어야 한다”고 말했다.

조이스는 보고서에서 제시한 방법들을 다시 한번 강조했다. 보고서는 통신회사들이 핵심 시스템을 최신 상태로 유지하고 다중 인증(multifactor authentication)을 사용하며 내부 네트워크가 인터넷에 노출되는 것을 줄이는 등 기본적인 사이버보안 방침을 마련하라고 지시했다.

보고서에 따르면 중국 스파이 행위의 첫 단계는 일반적으로 해커들이 라우터스플로잇(RouterSploit)이나 라우터스캔(RouterScan) 같은 오픈소스 스캐닝 도구를 사용해서 공격 대상 네트워크를 조사하고 해당 라우터와 네트워킹 장비의 제조사, 모델명, 버전 및 알려진 취약점을 알아내는 것이었다.

이러한 정보를 바탕으로 해커들은 알려진 지 오래되었지만 수정되지 않은 취약점을 이용해 네트워크에 접근하고 공격 대상 조직에 인증과 식별을 제공하는 서버에 침입할 수 있었다. 해커들은 사용자 이름과 비밀번호를 훔치고 라우터를 재설정한 후에 네트워크 트래픽을 성공적으로 추출해서 그것을 자신들의 기계에 복사했다. 이러한 방식으로 해커들은 해킹한 조직 내부에서 일어나는 사실상 거의 모든 일을 염탐할 수 있었다.

그러고 나서 해커들은 해킹의 증거를 없애기 위해 자신들이 손댄 모든 기계의 로그 파일을 삭제했다. 보고서에서는 중국 해커들이 흔적을 감추려고 이러한 시도를 했는데도 미국 정보기관들이 해킹에 관해 어떻게 알아낼 수 있었는지는 설명하지 않았다.

또한 보고서는 정확히 어떤 해킹 단체를 지목하고 있는 것인지에 관해서도 자세하게 설명하지 않았고, 중국 정부가 이러한 해킹의 배후임을 보여주는 증거에 관해서도 언급하지 않았다.

그래도 이 보고서는 미국 정부가 중국에 대해 제기한 또 하나의 경고이다. FBI 부국장 폴 어베이트(Paul Abbate)는 최근 연설에서 “중국이 세계 다른 모든 나라를 합친 것보다 더 많은 사이버 침입을 벌이고 있다”고 말했다. 워싱턴 DC 주재 중국대사관 대변인은 이 보고서에 관해 질문하자 중국이 다른 나라에 대한 해킹 활동을 벌이고 있다는 주장을 부인했다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.