미 법무부, 미 재무부 해킹한 중국 해커 12명 기소

12 Chinese Hackers Charged For Cyber Attacks on U.S Treasury

12 Chinese Hackers Charged For Cyber Attacks on U.S Treasury

 

• 사건 개요
  • 미 법무부(DOJ)는 중국 국적 해커 12명을 사이버 스파이 활동 혐의로 기소
  • 피해 대상은 미 재무부, 종교 단체, 언론사, 주요 인프라 등 광범위
  • 10년 이상 지속된 APT 캠페인으로, PlugX, HyperBro, Clambling 등의 악성코드 활용
• 피의자 및 연관 단체
  • 피의자 중 2명은 중국 공안부(MPS) 소속 장교
  • 8명은 청두 소재 아이순 정보기술(i-Soon Information Technology) 소속
  • 2명은 APT27(Silk Typhoon, Emissary Panda) 그룹 핵심 인물로 확인
  • i-Soon은 해커 용병 조직으로, MPS와 MSS로부터 이메일 계정 당 $10,000~$75,000 수수료 수령
• 공격 기법 및 악성코드
  • DLL 사이드로딩(Google Updater 실행파일 이용)을 통해 PlugX, Clambling 설치
  • Mimikatz로 인증정보 수집, CVE-2017-0213으로 권한 상승
  • ASPXSpy 웹쉘 통한 수평 이동, BitLocker로 시스템 잠금
  • ProxyShell 취약점(CVE-2021-26855, CVE-2021-34473) 악용하여 HyperBro(메모리 상주형 백도어) 배포
• 피해 기관 및 범위
  • 미 재무부: 2024년 9월~12월, APT27이 임대한 VPS 통해 침해 발생
  • 외교부: 대만, 인도, 한국, 인도네시아의 외교 자료 유출
  • 종교 단체: 중국 비판 단체 대상 감시 및 데이터 탈취
  • 방산업체 및 대학: 지적재산권 및 연구 데이터 침탈
  • 피해 규모는 수백만 달러에 이르는 것으로 추산
• 미 정부 대응 및 제재
  • FBI 및 Microsoft MSTIC 협력으로 i-Soon 도메인, APT27 VPS 인프라 압수
  • 미 국무부는 i-Soon 핵심 인물 제보 시 최대 $1,000만 보상, APT27 Zhou Shuai, Yin Kecheng에는 $200만 보상
  • OFAC는 Zhou Shuai의 위장 회사(Shanghai Heiying Information Technology)에 제재 및 자산 동결 조치
• 전략적 분석
  • 중국 정부는 국가-민간 연계 해커 네트워크를 통한 부인 가능 공격 전략 사용
  • i-Soon의 마케팅 자료 유출 통해 중국 보안국 43곳과 계약 사실 확인
  • 2015년 OPM 침해 이후 "애국 해커" 전략 지속
  • 최근에는 APT27이 NailaoLocker 공격 등 랜섬웨어 전략까지 병행
• 결론
  • 미국은 중국발 사이버 위협 대응 강화 정책 가속화 중
  • 사이버 스파이와 사이버 범죄의 경계가 모호해지며 위협 복잡도 증가
  • 기업 및 기관은 취약점 관리, 제로트러스트, 공급망 보호 강화 필요
  • "해커 용병" 모델 확산에 따른 국제 법제화 및 대응 체계 마련 시급