해커, 손상된 VPN을 통해 중국 슈퍼컴퓨터 침해

해커, 중국 국가슈퍼컴퓨팅센터 침해 주장

"FlamingChina"라는 핸들을 사용하는 위협 행위자가 중국 톈진에 위치한 국가슈퍼컴퓨팅센터(NSCC)에 침투해 기밀 국방 문서와 미사일 설계도를 포함한 것으로 알려진 10페타바이트 이상의 민감한 데이터를 탈취했다고 주장하고 있다. 해당 공격자는 손상된 VPN 연결을 통해 접근 권한을 획득했으며, 데이터를 판매에 내놓기 전 수개월에 걸쳐 점진적으로 추출했다고 밝혔다.

톈진의 NSCC는 결코 사소한 표적이 아니다. 이 시설은 첨단 과학 연구 기관과 국방 관련 기관을 포함해 6,000곳 이상의 고객에게 서비스를 제공하고 있다. 침해 사실이 확인된다면, 이는 최근 기억 속에서 중국 국가 인프라에 대한 가장 중대한 사이버 공격 중 하나로 기록될 것이다. 이 글을 작성하는 시점을 기준으로, NSCC와 중국 당국 모두 해당 사건을 공식적으로 확인하거나 부인하지 않은 상태다.

손상된 VPN이 공격 벡터가 되는 방식

이번 침해 주장에서 가장 두드러지는 세부 사항은 진입 지점, 즉 VPN이다. 가상 사설망은 원격 접속을 위한 안전하고 암호화된 터널을 제공하기 위한 목적으로 기업 및 정부 환경에서 광범위하게 배포된다. 그러나 VPN이 손상되면, 보안 도구에서 공격자를 위한 열린 문으로 뒤바뀔 수 있다.

손상된 VPN은 실제로 여러 가지 상황을 의미할 수 있다. VPN 소프트웨어 자체에 패치되지 않은 취약점이 존재할 수 있다. VPN 인증에 사용되는 자격 증명이 피싱이나 유출을 통해 도용됐을 수 있다. 경우에 따라서는 VPN 제공업체나 그들이 의존하는 인프라가 직접적인 공격 대상이 됐을 수도 있다. 이러한 시나리오 중 어느 것이든 공격자에게 합법적인 사용자처럼 보이면서 네트워크에 인증된 접근 권한을 부여할 수 있어, 탐지가 훨씬 어려워진다.

NSCC 사례가 사실이라면, 민감한 시스템에 대한 접근을 보호하는 VPN은 그것을 둘러싼 보안 관행만큼만 강력하다는 사실을 상기시켜 준다. VPN은 수동적인 방패가 아니다. 적극적인 유지 관리, 패치 적용, 그리고 모니터링이 필요하다.

더 넓은 맥락: 고가치 표적과 장기 체류 공격

이번 침해 주장에서 더욱 우려스러운 측면 중 하나는 타임라인이다. 공격자는 수개월에 걸쳐 데이터를 추출했다고 주장하며, 이는 침입이 장기간 탐지되지 않았음을 시사한다. 적이 경보를 발생시키지 않고 지속적인 접근 권한을 유지하는 장기 체류 공격은 대규모 데이터 유출을 가능하게 하기 때문에 특히 피해가 크다.

슈퍼컴퓨팅 센터는 이러한 인내심 있고 체계적인 공격의 매력적인 표적이다. 방대한 양의 민감한 연구 데이터를 처리하고 저장하며, 그 규모로 인해 정상적인 대용량 작업의 배경 속에서 이상 데이터 전송을 발견하기가 더 어려울 수 있다. 검증되지 않은 10페타바이트의 도난 데이터 주장은 국가 슈퍼컴퓨팅 센터가 대표하는 환경과 일치한다.

또한 해당 데이터가 판매를 위해 제공되고 있다고 알려진 점도 주목할 만하다. 이는 잠재적 피해가 어느 한 국가의 이익을 훨씬 넘어선다는 것을 의미한다. 민감한 기술 및 국방 데이터가 시장에 진입하면, 잠재적 구매자의 범위와 그에 따른 보안상의 함의를 통제하기가 훨씬 어려워진다.

이것이 여러분에게 의미하는 바

대부분의 독자들은 국가 슈퍼컴퓨팅 센터를 운영하지 않지만, 이 사건은 모든 수준에 적용되는 실질적인 교훈을 담고 있다.

VPN 보안은 자동으로 이루어지지 않는다. VPN을 배포한다고 해서 연결이나 데이터가 기본적으로 안전한 것은 아니다. 소프트웨어는 최신 상태로 유지되어야 하고, 자격 증명은 보호되어야 하며, 비정상적인 활동에 대비해 접근 로그를 모니터링해야 한다.

자격 증명 위생이 중요하다. 많은 VPN 침해는 도용되거나 재사용된 비밀번호에서 시작된다. 강력하고 고유한 자격 증명을 사용하고 가능한 모든 곳에서 다중 인증을 활성화하면 공격자에 대한 장벽이 크게 높아진다.

모든 VPN 구현이 동일하지는 않다. 기업용 VPN 인프라와 소비자용 VPN 서비스는 다르게 작동하지만, 둘 다 잘못 구성되거나 패치가 적용되지 않은 채로 방치될 수 있다. IT 관리자든 개인 사용자든, 자신의 VPN이 어떻게 작동하는지, 그리고 장애 양상이 어떤 모습인지 이해하는 것이 필수적이다.

검증되지 않은 주장은 회의적으로 바라봐야 한다. 이번 침해는 독립적으로 검증되지 않았다는 점을 유의해야 한다. 위협 행위자들은 때로 판매하려는 데이터의 인식 가치를 높이기 위해 탈취 데이터의 범위를 과장하거나 침해 자체를 완전히 조작하기도 한다. 결론을 내리기 전에 보안 연구자들과 피해 조직에게 조사할 시간을 주어야 한다.

민감한 통신을 보호하기 위해 VPN에 의존하는 개인과 조직에게 이 사건은 현재의 관행을 감사할 유용한 계기가 된다. VPN 소프트웨어가 완전히 패치되어 있는지 검토하고, 접근 자격 증명이 알려진 데이터 유출에 노출되었는지 평가하며, 로깅 및 모니터링 관행이 시간이 지남에 따라 느리고 낮은 수준의 침입을 실제로 탐지할 수 있는지 고려하라.

NSCC에 대한 침해 주장은 아직 진행 중이며, 더 많은 정보가 나오면 전체적인 그림이 달라 보일 수 있다. 이미 명확한 것은 VPN이 아무리 중요하더라도 한 번 설정하면 잊어도 되는 솔루션이 아니라는 점이다. VPN은 다른 중요한 보안 인프라와 마찬가지로 지속적인 관심이 필요하다.