미국 재무부, 중국 정부 후원의 해킹 그룹과 연관된 사이버 공격에 피해

미국 재무부가 2024년 12월 8일에 중요한 사이버 보안 침해를 겪었음을 확인했습니다. 이 과정에서 중국이 후원한 사이버 범죄자가 재무부 시스템에 무단으로 접근했습니다.

해당 침해는 제3자 소프트웨어 공급업체인 BeyondTrust와 관련이 있었습니다. BeyondTrust는 재무부의 부처 사무소(DO) 최종 사용자에게 원격 기술 지원 서비스를 제공하고 있었습니다.

재무부는 의회원들에게 보낸 편지에서 이 사건에 대한 자세한 내용과 대응조치에 대한 단계를 설명하였습니다. 이 해킹은 위협 요인이 BeyondTrust가 클라우드 기반 서비스를 보호하기 위해 사용하는 키를 접근할 때 발생하였습니다.

이 키를 이용하여 공격자는 보안 조치를 우회하여 재무부의 워크스테이션에 원격으로 침투하고, 영향을 받은 시스템에 저장된 비분류 문서에 접근했습니다.

이 침입 사실을 발견한 즉시 재무부는 사이버 보안 및 인프라 보안국(CISA), 연방 수사국(FBI), 그리고 정보 커뮤니티에 알렸습니다.

제3자 포렌식 조사관들도 상황을 평가하고 공격의 전체 범위를 파악하기 위해 동원되었습니다. 재무부에 따르면, 현재까지 확보된 증거는 이 사건을 중국의 국가 후원 고도 지속 위협(APT) 그룹과 연결시킵니다.

CNN은 침투된 워크스테이션의 정확한 수는 아직 불분명하다고 보도했습니다. 그러나 재무부 대변인은 “여러” 재무부 사용자 워크스테이션에 접근되었다고 확인했습니다. 또한 재무부가 이 침입으로 인한 피해 범위를 완전히 평가했는지 여부는 아직 불확실합니다.

사이버보안 회사 SentinelOne의 위협 연구원인 톰 헤겔은 로이터에게 보고된 보안 사고가 PRC(중화인민공화국) 계열 그룹의 알려진 행동 패턴과 일치하며, 특히 신뢰할 수 있는 제3자 서비스에 대한 의존성이 최근 몇 년 동안 더욱 두드러지게 되었다고 지적했습니다.

해당 서비스는 이미 오프라인 상태가 되었으며, 현재로서는 위협적인 행위자가 재무부 정보에 접근을 유지하고 있음을 나타내는 징후가 없다고 편지에서 밝혔습니다.

이 사건에 대한 대응으로 재무부 공무원들은 사이버 보안 강화 계정 (CEA)으로 이루어진 투자를 칭찬했는데, 이 투자는 공격을 모니터링하고 대응하는 데 필수적인 도구를 제공했습니다.

연방 정보 보안 현대화법 (FISMA)에 따라, 재무부는 이 사건을 주요 사이버 보안 사건으로 지정하였습니다.

워싱턴 포스트는 이번 해킹 사건이 중국의 소행으로 추정되는 일련의 고위험 사이버 공격 사례를 이어받은 것이라고 지적했습니다.

올해 초, 중국의 해킹 그룹인 Salt Typhoon은 미국의 통신사 업체 10여곳을 해킹하여 전화 통화와 문자 메시지를 감청할 수 있었습니다. 이 사이버 공격의 대상 중에는 당시 대통령 당선인 도널드 트럼프와 부통령 당선인 JD 밴스의 통화 내용도 포함되어 있었습니다.