중국 해커, 놀라운 사이버 보안 사건으로 미국 재무부 시스템 침해
미국 재무부는 중국 해커가 부서 워크스테이션과 비밀이 아닌 문서에 원격으로 접근했다고 확인했으며, 이를 관리들은 "중대한 사이버 보안 사건"이라고 부릅니다. 이 침해는 해커가 특권 액세스 관리를 전문으로 하는 회사인 BeyondTrust가 운영하는 클라우드 기반 서비스를 침해한 후 발생했습니다.
재무부 관리들은 사건의 심각성을 인정했지만, 중요한 세부 사항은 여전히 불분명합니다. 해당 부서는 영향을 받은 워크스테이션의 수나 접근한 문서의 성격을 공개하지 않았습니다.
목차
중국과 관련된 고급 지속적 위협과 관련된 침해
중국의 국가 지원 Advanced Persistent Threat(APT) 그룹 에 기인한 이 공격은 해커들이 BeyondTrust에서 사용한 도난된 API 키를 악용한 후 발생했습니다. 재무부 관리 담당 차관보인 아디티 하디카에 따르면 BeyondTrust는 12월 8일에 클라우드 기반 기술 지원 서비스와 관련된 의심스러운 활동을 재무부에 통보했습니다.
하디카르는 의원들에게 보낸 편지에서 "도난당한 키에 접근함으로써 위협 행위자는 서비스의 보안을 무력화하고 재무부(DO) 사무실 사용자 워크스테이션에 원격으로 접근하고 해당 사용자가 보관하는 비밀이 아닌 문서를 검색할 수 있었습니다."라고 설명했습니다.
비밀이 아닌 시스템은 일반적으로 비밀이 아닌 네트워크보다 덜 민감하지만, 이러한 시스템이 침해될 경우 여전히 상당한 위험이 초래될 수 있으며, 잠재적으로 정부 운영이 노출되거나 추가 공격이 가능해질 수 있습니다.
조정된 대응 진행 중
재무부는 사이버 보안 및 인프라 보안 기관(CISA), FBI, 정보 커뮤니티, 민간 법의학 조사관을 동원해 침해를 분석하고 그 영향을 평가했습니다. 하디카에 따르면, 이러한 기관은 사고를 봉쇄하고 미래의 위협에 대한 방어를 강화하기 위해 협력하고 있습니다.
CISA의 신속한 대응과 재무부가 침해된 서비스를 즉시 오프라인으로 전환하기로 한 결정 덕분에 지금까지 해커가 여전히 부서 시스템에 접근할 수 있는 징후는 발견되지 않았습니다.
BeyondTrust 취약점 악용
사고의 중심에 있는 공급업체인 BeyondTrust는 최근 Privileged Remote Access(PRA) 및 Remote Support(RS) 제품의 심각한 취약성(CVE-2024-12356)에 대한 패치를 발표했습니다. 12월 5일, 이 회사는 Remote Support SaaS의 API 키가 손상되었다는 사실을 발견하여 영향을 받은 인스턴스를 즉시 종료하고 영향을 받은 고객에게 알렸습니다.
맥락: 중국 사이버 스파이의 더 광범위한 물결
재무부에 대한 이 공격은 " 소금 태풍 "이라는 별명이 붙은 대규모 중국 사이버 스파이 캠페인에 대한 우려가 고조된 가운데 발생했습니다. 이 캠페인은 베이징이 미국 시민을 포함한 문자 메시지와 전화 대화를 포함한 민감한 통신에 접근할 수 있도록 허용한 것으로 알려졌습니다 .
12월 말 현재, 미국 관리들은 9개 통신 회사가 솔트 타이푼에 의해 침해당했다고 확인했습니다. 재무부 침해는 겉보기에 관련이 없어 보이지만, 미국 인프라와 정부 시스템을 표적으로 삼은 중국 국가가 지원하는 사이버 작전의 범위와 정교함을 강조합니다.
주요 요점
이 사건은 타사 소프트웨어 종속성이 제기하는 중대한 취약성을 엄중히 일깨워줍니다. 편리하고 안전하다고 여겨지는 클라우드 기반 서비스는 악용될 경우 공격자의 관문이 될 수 있습니다.
정부와 민간을 막론하고 모든 조직은 경계를 늦추지 말고 강력한 보안 프로토콜, 정기적인 패치, 포괄적인 사고 대응 계획을 보장해야 합니다. 미국 정부가 사이버 보안 기관에 신속하게 개입한 것은 사이버 위협에 대한 조정된 대응의 중요성을 강조합니다.
조사가 진행되면서 분명한 사실 하나가 있습니다. 지정학적 긴장이 고조되고 사이버 공격이 점점 더 정교해지는 이 시대에 사이버 보안의 위험은 그 어느 때보다 높다는 것입니다.