대만의 핵심 기반시설을 겨냥한 중국 연계 해커들의 공격이 지속적으로 발생하고 있는 가운데, 새로운 위협그룹 ‘UAT-5918’이 통신, 의료, 정보기술(IT) 등 주요 산업을 표적으로 삼고 있다는 분석 결과가 나왔다.

시스코 탈로스(Cisco Talos) 연구진은 해당 그룹이 최소 2023년부터 활동을 지속해 왔으며, 장기적인 침투 및 정보 탈취를 목표로 한 정교한 캠페인을 전개하고 있다고 밝혔다. 특히 이들의 공격 방식과 피해 대상은 중국 정부의 지원을 받는 것으로 알려진 볼트 타이푼(Volt Typhoon), 플랙스 타이푼(Flax Typhoon) 등과 유사하다고 분석했다.

시스코 탈로스는 “UAT-5918은 대만 내 통신, 의료, 정보기술 등 주요 산업 분야를 중점적으로 타깃하고 있으며, 공격 방식 또한 기존 중국 국적 해킹 조직들과 상당한 유사점을 보인다”고 설명했다.

UAT-5918은 인터넷에 노출된 취약한 웹 및 애플리케이션 서버의 보안 취약점을 악용해 초기 침투에 성공한 뒤, 오픈소스 도구를 이용해 내부망을 탐색하며 관리자 권한을 확보하고 자격 증명을 탈취하는 방식으로 추가 확산을 시도하는 것으로 확인됐다.

특히 이들이 사용하는 도구 중 일부는 플랙스 타이푼과 볼트 타이푼이 사용했던 스파이웨어와 동일한 것으로 드러났다. 이는 UAT-5918이 이들과 전략적으로 연결돼 있거나, 유사한 인프라와 툴셋을 공유하고 있다는 가능성을 시사한다.

시스코 탈로스는 UAT-5918이 유명한 중국 연계 해킹 그룹인 페이머스 스패로우(Famous Sparrow), 어스 에스트리스(Earth Estries) 등과도 연계된 정황이 있다고 덧붙였다. 이를 통해 중국 내 복수의 해킹 조직이 공조하거나 기술을 공유하고 있을 가능성이 제기됐다.

미국 정부는 이에 대한 대응 조치로 올해 1월, 볼트 타이푼 캠페인의 핵심 인프라를 원격에서 무력화하는 작전을 실행했다고 밝힌 바 있다. 당시 해커들은 수천 대의 IoT(사물인터넷) 기기를 감염시켜 봇넷을 구성해 공격에 활용했으며, 미국 연방수사국(FBI)은 법원의 허가를 받아 이들 감염 장비에서 악성코드를 제거하고 통신 인프라를 차단했다.

이와 함께 미국은 2024년 5월, 중국 측에 볼트 타이푼의 사이버 스파이 활동에 대한 항의 의사를 공식적으로 전달하고 추가 제재를 검토하고 있다고 발표했다.

한편 중국 정부도 최근 들어 반격에 나섰다. 중국 국가안전부는 대만 군과 연계된 4명의 개인이 본토를 상대로 사이버 공격과 첩보 활동을 벌였다고 주장하며, 관련 정보를 공개했다. 이 같은 주장은 미·중 간 사이버 긴장이 한층 격화되고 있음을 보여주는 사례로 풀이된다.

전문가들은 다국적 해킹 조직의 연계 가능성과 정보 공유를 통한 공격 고도화가 진행되고 있는 만큼, 국제적 공조와 신속한 위협 인텔리전스 교환이 중요하다고 강조했다.