FBI 경고: Salt Typhoon은 "통신의 상식을" 무너뜨렸다 ─ 200개 기업, 80개국: "조용한 침입자" 중국계 Salt Typhoon이 그리는 글로벌 감시의 윤곽

FBI 경고: Salt Typhoon은 "통신의 상식을" 무너뜨렸다 ─ 200개 기업, 80개국: "조용한 침입자" 중국계 Salt Typhoon이 그리는 글로벌 감시의 윤곽

2025年08月29日 12:13

1) 무슨 일이 일어났는가: 9개사에서 "200개사"로

8월 27일 (미국 시간), FBI의 사이버 부문 최고 책임자가, Salt Typhoon에 의한 침입이 미국 내에서 최소한 200개사에 달했다고 명언했다. 작년, 미국 내의 통신·인터넷 대기업 9개사에 대한 침해가 판명된 이후, 표적은 수평·수직으로 확대되었다고 한다. 발언은 TechCrunch의 보도로 널리 공유되었고, 수사 당국의 견해가 "산업 섹터 횡단"으로 변한 것을 상징한다.TechCrunch


이 평가는, 13개국 (미국, 영국, 호주, 캐나다, 뉴질랜드, 독일, 이탈리아, 일본, 네덜란드, 핀란드, 체코, 폴란드, 스페인)이 서명한 공동 사이버 어드바이저리로 뒷받침되었다. 문서는, 통신에서 정부, 운송, 숙박, 군 관련까지 "80개국 규모"에서 영향이 나타났다고 지적하는 보도와 일치한다.CISAThe Washington Post월스트리트 저널


2) 얼마나 깊은 침해였는가

미국 주요 신문의 보도에 따르면, 작전은 2019년경부터 계속되었으며, 통화 기록이나 일부 위치 정보, 더 나아가 법 집행용 통신 관련 시스템에 관한 정보에까지 접근했을 가능성이 있다. FBI는 약 600개의 기업·단체에 주의 환기를 하였고, 탐지·봉쇄를 위한 기술 정보를 배포했다고 한다.월스트리트 저널


Salt Typhoon은, Microsoft의 명명으로, 중국이 관여한 것으로 보이는 스파이 행위의 "클러스터"를 가리킨다. 별명으로는 OPERATOR PANDA, GhostEmperor, UNC5807/UNC2286, FamousSparrow 등이 문헌에 나타나며, 각사·각 기관의 관측이 겹치고 있다.CISAMicrosoft Learnvaronis.comtrustwave.com


3) 그들은 어떻게 들어왔는가: TTP의 요점

공동 어드바이저리와 각 매체의 기술 해설을 종합하면, TTP(전술·기술·절차)의 핵심은 다음 세 가지로 요약할 수 있다.

  • 경계 장비의 알려진 취약점 연쇄 악용: 라우터나 VPN, 방화벽 등의 패치 미적용 부분을 기점으로 횡전개.설정 변경의 흔적 은폐로그 전송 조작으로 체류를 장기화.CISAThe Hacker News

  • 인증 정보의 절취와 장치 "상주화": 디바이스에서 자격 정보를 빼내고, 가상화 환경이나 네트워크 터널을 추가하여 외부 C2로 은닉 연결.CISA

  • 통신 데이터의 조준: 통화 메타데이터에 대한 접근이나 망 내 제어의 파악을 통해 감시 가치가 높은 대상을 추출.월스트리트 저널

어드바이저리는, IOC(침해 지표)탐지 규칙을 JSON 등으로 제공하고, 장치 펌웨어의 완전성 검증이나 설정 차이 감사를 "지속 운영의 표준"으로 끌어올리도록 요구한다.CISA


4) SNS의 반응: 현장과 여론의 온도차

 


  • FBI 공식은 X에서 공동 어드바이저리의 참조를 촉구하며, 네트워크 방어자에게 구체적인 대책 도입을 호소. 톤은 "지속하는 위협"의 재확인이다.X (formerly Twitter)

  • 보안 기자들 사이에서는, **"200개사·80개국"**이라는 규모감이 시그널로 강조되며, Mastodon에서도 공유가 확산. 워싱턴 포스트의 일련의 보도를 참조하는 게시물이 두드러졌다.Mastodon hosted on mastodon.socialThe Washington Post

  • 업계 미디어의 공식 계정은 "국제 공동 어드바이저리에서 Salt Typhoon이 최상위의 위협으로 위치 지어졌다"고 속보하며, CVE 관리와 경계 장치 로그의 보존을 권장.X (formerly Twitter)

SNS에서는 "E2EE 메시지의 이용 촉진", "통화나 SMS에 의존한 본인 확인의 재검토", "장치 설정의 버전 관리"의 세 가지가 실무적인 테마로 트렌드화. 대조적으로, 지정학적인 응수에서는 중국 정부의 관여 부정도 확산되어, 정보전의 양상을 띠었다.Reuters


5) 일본에 대한 의미: 공동 성명의 "당사자화"

일본은 공동 어드바이저리의 서명국이며, 국내의 중요한 인프라 (통신, 교통, 숙박, 공공)는 대책의 "당사자"이다. 특히,

  • 경계 장치의 설정 감사 (미사용 터널이나 의심스러운 NAT/ACL)

  • 장치 로그의 외부 보존 (SIEM 전송+조작 탐지)

  • 현장 운영의 자동 가시화 (구성 차이·펌웨어의 정합성)
    는, 운영 비용을 지불하더라도 상시화해야 할 "베이스라인"이 되었다.The Hacker NewsCISA


6) 지금 할 수 있는 구체적인 액션 (CISO/운영 팀용)

  1. 어드바이저리 적용의 즉일 태스크화: AA25-239A의 IOC/탐지 규칙을 획득·적용하고, 과거 90일의 로그로 헌팅.CISA

  2. 경계 장비의 "풀 SBOM+버전 재고": Cisco/Juniper/Palo Alto/기타 장비에서 취약 버전의 재고, EoL/EoS는 교체 계획으로.The Hacker News

  3. 통화·SMS 기반 인증에서의 철수: 고위험 부문은 암호화 메시지나 FIDO2로, 음성 회선의 기밀 연락은 원칙적으로 금지. 보도 배경을 내부 지침에 명문화.월스트리트 저널##HTML

← 기사 목록으로 돌아가기