국가 사이버 보안 센터(NCSC)와 15개 국제 파트너가 공동 권고문을 발표했습니다. 해당 권고문은 중국과 연관된 위협 행위자들이 보안이 취약한 일상 인터넷 기기를 이용해 공격을 숨기고 있다고 경고합니다.
권고문은 주요 전술 변화에 대해 설명합니다. 베이징과 관련된 그룹들이 수십만 대의 감염된 가정용 라우터와 스마트 기기를 경유하여 활동을 은폐하고 있습니다. 이 방식은 이전까지의 전용 공격 인프라를 대체하고 있습니다.
감염된 가정용 기기로 구성된 봇넷
해당 문서에서는 볼트 타이푼과 플랙스 타이푼 작전에서 나타나는 공통적 패턴도 언급합니다. 모든 경우에 트래픽은 감염된 소규모 사무실 및 가정용 라우터를 거쳐 목표지로 향합니다.
이 은밀한 네트워크는 중국 연계 운영자들이 목적지를 스캔하고, 악성 소프트웨어를 전달하며, 데이터를 외부로 유출하는 데 활용됩니다. 공격의 출처 또한 잘 드러나지 않게 만듭니다.
이러한 네트워크 중 하나인 랩터 트레인은 2024년에 전 세계에서 20만 대 이상의 기기를 감염시켰다고 NCSC가 밝혔습니다. FBI는 운영 주체를 베이징 소재 사이버보안 기업인 인테그리티 테크놀로지 그룹으로 지목했습니다.
영국은 해당 기업이 동맹국을 대상으로 한 무분별한 사이버 활동에 관여했다는 이유로 2025년 12월에 제재를 부과했습니다.
많은 감염 기기는 수명이 끝난 웹 카메라, 비디오 레코더, 방화벽, 네트워크 저장장치 등입니다. 이러한 기기들은 제조사로부터 더 이상 보안 패치를 제공받지 못합니다. 그로 인해 대규모 악용에 매우 취약합니다.
서방 인프라에 이미 침투된 상황
볼트 타이푼은 별도의 비밀 네트워크인 KV 봇넷을 이용한 전력이 있습니다. 이 그룹은 미국과 동맹국 전역의 주요 국가 인프라에 접근 기반을 마련했습니다.
권고문에 언급된 미국 법무부 기록에 따르면, 에너지망, 교통 시스템, 정부 네트워크가 주요 표적임을 뒷받침합니다.
NCSC 운영 이사 폴 치체스터는 침해 지표 소멸(indicator of compromise extinction)이라는 별도의 문제에도 주의를 환기했습니다. 공격자를 추적하는 식별자는 연구진이 정보를 공개하자마자 거의 동시에 사라집니다.
이 문제는 국가 지원 해킹 캠페인을 인프라와 금융 분야 모두에서 추적하는 데 더 큰 어려움이 있음을 반영합니다.
“최근 몇 년 동안 중국에 기반을 둔 사이버 그룹들이 책임을 회피하기 위해 이러한 네트워크를 활용하여 악의적인 활동을 숨기는 사례가 뚜렷하게 늘어나고 있습니다.” – 폴 치체스터, NCSC 운영 이사
권고문은 조직이 정상적인 네트워크 트래픽을 기준치로 삼고 동적 위협 정보를 도입할 것을 독려합니다. 또한 중국 연계의 비밀 네트워크를 독립된 고급 지속 위협(Advanced Persistent Threat)으로 추적할 것도 권장합니다.
2024년에는 사이버 범죄로 인한 디지털 자산 손실 규모가 20억 달러를 넘어섰습니다. 앞으로 수개월간 방어자들이 대응 속도를 따라잡을 수 있는지 시험대에 오르게 됩니다. 공격 세력은 추적 시도를 무력화하는 데 성공한 첫 사례가 되었습니다.
