중국 연계 침해 기기 은밀 네트워크에 대한 방어
중국 연계 사이버 행위자들이 악의적인 활동을 은폐하기 위해 침해된 장치들의 대규모 네트워크, 즉 은밀한 네트워크를 점점 더 많이 사용하고 있습니다. 이러한 전술, 기법, 절차(TTP)의 변화는 개별적으로 조달된 인프라에서 벗어나는 것입니다. 이러한 은밀한 네트워크는 주로 침해된 SOHO(Small Office Home Office) 라우터, IoT(사물 인터넷) 장치 및 스마트 장치로 구성됩니다. 이러한 네트워크를 통해 행위자들은 저비용, 저위험, 부인 가능성으로 사이버 작전을 수행할 수 있어 추적이 어렵습니다. 이들은 정찰부터 악성코드 전달 및 데이터 유출에 이르기까지 사이버 킬 체인의 모든 단계에서 활용됩니다. 중국 정보 보안 회사들이 이러한 은밀한 네트워크를 생성하고 유지한다는 증거가 있습니다. 예를 들어, 20만 개 이상의 장치를 감염시킨 Raptor Train 네트워크는 Integrity Technology Group에서 관리했습니다. Volt Typhoon에서 사용한 KV 봇넷은 주로 취약한 수명이 다한 라우터로 구성되었습니다. 정적 IP 차단 목록에 의존하는 기존의 방어 패러다임은 이러한 봇넷의 동적이고 분산된 특성으로 인해 효과가 떨어지고 있습니다. 방어자들은 네트워크 에지 장치를 매핑하고, 정상적인 연결을 기준선으로 설정하며, 위협 인텔리전스를 활용하여 적응해야 합니다. 다단계 인증을 구현하고 IP 주소 또는 지리적 허용 목록을 사용하는 것이 중요한 보호 조치입니다. 더 크거나 위험도가 높은 조직은 제로 트러스트 정책을 통해 보안을 더욱 강화하고 인터넷에 노출된 IT 자산을 줄일 수 있습니다. 가장 표적이 되는 개체는 이러한 은밀한 네트워크를 별도의 위협으로 적극적으로 추적하고 추적하는 것이 좋습니다. 포괄적인 사이버 보안 모범 사례는 이러한 진화하는 위협에 대한 방어에 여전히 근본적입니다.