2024년 12월 공개된 중국 APT 'Salt Typhoon'이 미 통신사 9곳과 합법 감청 시스템을 1년 이상 장악한 작전. CALEA 인프라·정치인 통화 유출·한국 통신비밀보호법 인프라에 대한 시사점.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2024년 12월 4일, 백악관 브리핑룸. Anne Neuberger 부보좌관(사이버·신기술)이 기자들에게 미국 통신사 최소 8곳이 뚫렸다고 알렸다. 같은 주 CNN은 공격자가 일부 표적의 실제 음성 통화까지 복제했을 가능성을 보도했다. Trump 캠프, JD Vance 부통령 후보, Harris-Walz 캠프 직원 등 수십 명의 정치 인사가 그 대상에 포함됐다. 중국 APT 그룹 'Salt Typhoon'이 공식 무대에 오른 순간이었고, 피해 규모는 2025년 1월 CISA 업데이트로 9곳까지 확대된다.
Salt Typhoon(마이크로소프트 분류)은 중국 국가안전부(MSS) 연계 APT 그룹으로 추정된다. Mandiant는 기존 MSS 연계 그룹(APT40 등)과의 기술적 유사성을 보고해 왔고, Microsoft는 2023년부터 Volt Typhoon(주요 인프라 파괴 목적)과 구별되는 '통신·네트워크 스파이' 전문 그룹으로 추적한다.
공격 목표는 산업 제어나 파괴가 아니다. 1994년 제정된 CALEA(Communications Assistance for Law Enforcement Act)에 따라 미국 통신사가 의무적으로 구축한 합법 감청(lawful intercept) 시스템이 핵심 타깃이었다. 법원 영장을 근거로 미 정부가 통화 내용과 메타데이터를 추출하는 이 인프라는, 적국 정보기관이 장악하면 같은 권한을 갖게 된다.
한국도 유사한 구조를 가진다. 「통신비밀보호법」 제15조에 따라 KT, SK텔레콤, LG유플러스는 법 집행기관의 감청 영장 집행을 위한 기술적 인프라를 운영한다. Salt Typhoon이 드러낸 구조적 취약성은 국가급 공격자가 이 인프라를 표적으로 삼을 때 공유되는 공통 리스크다.
Salt Typhoon의 최초 침투 시점은 2023년 하반기로 추정된다. 공격자는 통신사의 구형 Cisco IOS XE 엣지 라우터를 주목했다. 2023년 10월 공개된 웹 UI 취약점()이 초기 침투 벡터로 활용된 것으로 보도됐다. 통신사가 긴급 패치를 지연하는 사이, 공격자는 백본 네트워크 내부로 진입했다.
내부 진입 후 작전은 조용했다. 암호 덤핑으로 자격 증명을 수집했고, Telnet과 SSH 세션으로 수평 이동을 반복했다. 주요 통신사의 CALEA 인프라에 도달한 뒤에는 FBI가 감청 영장을 집행한 대상의 전체 리스트를 열람했다. Wall Street Journal은 2024년 10월 첫 보도에서, Salt Typhoon이 중국 관련 방첩 활동의 미 정부 관심 대상을 역으로 파악할 수 있었다고 전했다. 누가 누구를 감시하는지 자체가 정보가 된 것이다.
표적은 점차 좁아졌다. 2024년 대선 기간을 전후해 Trump 캠프, JD Vance 부통령 후보, Harris-Walz 캠프 직원 등 정치 인사 수십 명의 통화 기록이 유출됐다. CNN은 2024년 12월, 이들 중 일부는 통화 메타데이터를 넘어 실제 음성 내용까지 복제됐을 가능성이 있다고 보도했다. 미 재무부는 같은 달 Treasury와 OFAC 시스템에 대한 별도 침투 시도를 공개하며, 재무장관 비서관 워크스테이션까지 접근 정황이 있었다고 밝혔다.
2024년 12월 기준 확인된 피해 통신사는 AT&T, Verizon, Lumen(CenturyLink), Charter Communications, Consolidated Communications, Windstream 등이다. T-Mobile은 초기 공격 시도 대상에 포함됐으나 자체 성명에서 "고객 데이터 유출 정황은 없다"고 밝혔다. CISA는 2025년 1월 총 9곳의 침해를 확인했다.
미 상원 정보위 Mark Warner 의원은 2024년 11월 청문회에서 "미국 역사상 최악의 통신망 해킹"으로 규정했다. 통신사 5곳 이상이 2025년 초 네트워크 장비 교체와 구조 재설계에 착수했다.
Salt Typhoon이 드러낸 구조적 문제는 세 가지다.
첫째, 합법 감청 인프라는 공격자의 최고 가치 자산이다. CALEA는 법 집행기관의 요청에 따라 통신사가 특정 번호의 통화·SMS·메타데이터를 실시간 제공하도록 강제한다. 이 시스템을 장악한 적국 행위자는 같은 권한을 비밀리에 행사한다. E2E 암호화된 메신저가 아닌 일반 SMS와 음성 통화는 사실상 노출 상태였다. 한국의 통신비밀보호법 기반 인프라도 동일한 설계상 위험을 공유한다.
둘째, 국가 행위자의 체류 시간은 탐지 속도보다 길다. 최초 침투 2023년 하반기, 공개 보도 2024년 10월, 공식 발표 12월, 완전 제거 시점 미정. 정부급 방어 체계도 중국 APT 상대로 1년 이상을 허용했다.
셋째, 구형 엣지 장비는 국가급 표적이 된다. 이 공개된 시점은 2023년 10월 16일. Salt Typhoon이 이 취약점을 대규모 무기화한 것은 패치 배포 수개월 내였다. 통신사 엣지 장비의 평균 교체 주기(5~7년)와 국가 공격자의 취약점 악용 속도 사이의 격차가 이번 사건의 근본 원인이다.
합법 감청이라는 제도적 장치가 적국의 공격 표면이 된 이상, 미국은 2025년부터 CALEA 인프라의 구조적 재설계를 논의 중이다. 답이 나오지 않은 질문은 "같은 권한을 가진 두 주체가 동일한 감시 시스템을 공유한다" 는 설계 자체다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0