국가 배후 해킹 그룹 'Hafnium' 멤버 인도: Microsoft Exchange Zero-day 사태의 기술적 회고와 보안 교훈

최근 중국 정부를 대신해 사이버 공격을 수행한 혐의를 받는 쉬 저웨이(Xu Zewei)가 이탈리아에서 미국으로 인도되었습니다. 그는 중국 국가안전부(MSS)의 계약업체인 'Shanghai Powerock Network' 소속으로 활동하며, 전 세계적으로 악명을 떨친 해킹 그룹 Hafnium(최근 명칭 Silk Typhoon)의 일원으로 지목되었습니다.

주요 혐의에 따르면, 이들은 2020년 초 COVID-19 관련 연구 데이터를 탈취하기 위해 미국 대학들을 공격했으며, 2021년 3월부터는 Microsoft Exchange Server의 알려지지 않은 취약점(Zero-day)을 이용해 전 세계 6만 개 이상의 조직을 공격하고 그 중 12,700여 곳을 성공적으로 해킹했습니다.

이번 사건은 국가 차원의 지원을 받는 고도화된 위협(APT)이 어떻게 엔터프라이즈 인프라를 무너뜨리는지 보여주는 사례입니다. 특히 온프레미스(On-premise) 메일 서버의 취약점이 하이브리드 클라우드 환경 전체의 보안 거버넌스에 얼마나 큰 위협이 되는지 여실히 증명했습니다.

엔터프라이즈 보안의 아킬레스건: Microsoft Exchange Exploit

Hafnium이 사용한 공격 기법은 HTTP 프로토콜을 통한 원격 코드 실행(RCE)이 핵심이었습니다. 이들은 서버의 취약점을 이용해 웹 셸(Web Shell)을 심고, 이를 통해 관리자 권한을 획득하여 내부 네트워크로 침투하는 전형적인 포스트 익스플로잇(Post-exploitation) 과정을 밟았습니다. 이는 단순한 애플리케이션 보안을 넘어, 전체 시스템 아키텍처 관점에서의 방어 체계가 왜 필요한지를 시사합니다.

아키텍트의 분석: Zero Trust와 신속한 패치 관리의 필요성

시니어 아키텍트 입장에서 이번 사건은 'Defense-in-Depth' 전략의 중요성을 재확인시켜 줍니다.

1. WAF와 가상 패치(Virtual Patching): 제로데이 취약점이 발표된 직후, 실제 패치가 적용되기 전까지의 'Window of Vulnerability'를 메우기 위해서는 WAF(Web Application Firewall)를 통한 시그니처 기반 차단과 비정상 HTTP 트래픽 패턴 분석이 필수적입니다.

2. 클라우드 전환의 가속화: 온프레미스 Exchange 서버는 관리자의 역량에 따라 패치 주기가 결정되지만, Cloud 네이티브 서비스(Exchange Online 등)는 공급자가 보안 패치를 강제하고 관리하므로 공격 표면(Attack Surface)을 크게 줄일 수 있습니다.

3. Egress 트래픽 통제: 해커가 웹 셸을 통해 외부 명령 제어(C&C) 서버와 통신할 때, 엄격한 아웃바운드 트래픽 정책이 수립되어 있었다면 피해를 최소화할 수 있었을 것입니다. 내부망에서 외부로 나가는 모든 연결에 대해 WWW 게이트웨이 레벨의 검증이 필요합니다.

결론적으로, 현대의 아키텍처는 내부 네트워크를 신뢰하지 않는 Zero Trust 원칙 위에 설계되어야 하며, 인프라의 가시성을 확보하기 위한 실시간 모니터링 체계가 반드시 수반되어야 합니다.

---

원문 출처: Hacker who allegedly carried out cyberattacks for China is extradited to US