반도체 전쟁이 격화되고 있다.
중국 연계 해커들이 대만의 반도체 산업과 금융 분석가들을 상대로 사이버 스파이 활동을 강화하고 있으며, 2025년 3월부터 6월까지 조정된 공격을 감행했고 일부 작전은 현재까지도 진행 중인 것으로 알려졌습니다. 로이터 통신에 따르면, 사이버 보안 기업 프로프포인트(Proofpoint)는 이러한 활동을 UNK_FistBump, UNK_DropPitch, UNK_SparkyCarp 등 이전에 기록되지 않았던 최소 세 개의 중국 연계 그룹에 기인한다고 밝혔습니다. 또한, 네 번째 그룹인 UNK_ColtCentury(TAG-100 또는 Storm-2077로도 추적됨)는 목표물과의 신뢰를 구축한 후 'Spark'라는 원격 접근 트로이 목마(RAT)를 배포하는 방식으로 활동했습니다.
이러한 공격은 미국 수출 통제 및 대만의 첨단 칩 제조 분야 지배력에 힘입어, 중국 베이징이 추구하는 반도체 자급자족 노력의 일환으로 분석됩니다. 해커들은 반도체 설계, 제조, 테스트 및 공급망과 관련된 조직은 물론, 대만 반도체 부문을 추적하는 투자 분석가들을 주요 표적으로 삼고 있습니다.
프로프포인트는 중소기업부터 주요 글로벌 기업에 이르기까지 15개에서 20개 조직이 표적이 되었으며, 최소 한 곳의 미국 본사 소재 국제 은행 분석가들까지 공격 대상에 포함했다고 추정합니다. 대만의 주요 칩 제조업체인 TSMC, 미디어텍(MediaTek), UMC, 나냐(Nanya), 리얼텍(RealTek) 등은 논평을 거부하거나 응답하지 않았습니다. 로이터는 현재까지 어떤 기업이 침해당했거나 공격이 성공했는지 여부를 확인하지 못했습니다. 해당 보안 그룹은 모든 공격의 동기가 "가장 높은 확률로 스파이 활동"이었음을 강조했습니다.
보고서에 따르면, 중국은 대만으로부터 반도체 인재를 빼가려는 노력을 강화하고 있습니다
이러한 캠페인들은 다양한 전술을 이용했습니다. UNK_FistBump는 탈취된 대만 대학 이메일 계정에서 스피어 피싱 공격을 감행했습니다. 이들은 구직자로 위장하여 PDF 이력서 형태로 위장된 악성 파일을 첨부했으며, 피해자가 이 파일을 열면 Cobalt Strike 비콘이 배포되거나, 이전에 전 세계 70개 이상의 조직에 대한 공격과 관련이 있는 'Voldemort'라는 사용자 정의 C 기반 백도어가 작동하게 됩니다. 반면 UNK_DropPitch는 주요 목표물로 사칭하여 피싱 공격을 전개했습니다.
한편, 또 다른 전술은 다음과 같습니다. 특정 목적을 가진 가짜 웹사이트를 이용해 악성코드를 유포합니다. 이들은 사용자들에게 가짜 로그인 페이지를 제공하며 정보를 탈취하는 방식으로 접근했습니다.
이와 별개로, 공격자들은 내부자에 접근하여 백도어를 심고 데이터를 절취하는 방식으로도 침투합니다.
이러한 방식의 취약점 악용은 신규로 발견되는 취약점들을 활용하는 경우가 많습니다.
공격자들은 마치 정부기관이나 보안업체에서 온 것처럼 위장하여 접근하는 방식으로 정보를 탈취하는 경우도 있습니다.
이러한 취약점은 조직 내부의 정보를 빼내거나 특정 시스템에 접근하는 데 이용되곤 합니다.
최근에는 공급망 공격을 통해 시스템을 감염시키는 방식으로도 공격이 이루어지고 있습니다.
2023년 11월에는 미국 국가안보국(NSA)이 배포한 소프트웨어 라이브러리에서 취약점을 발견하여 이를 악용하는 사례가 있었습니다.
한편, 미국 연준(Fed)의 일부 시스템도 백도어 공격을 받아 피해를 본 바 있습니다.
전반적으로 이들 공격은 단순한 정보 탈취를 넘어 시스템 자체를 장악하거나 국가 기반 시설을 마비시키는 것을 목표로 합니다.
이러한 위협에 대응하기 위해 기업들은 공급망 전반에 대한 감사를 실시하고, 제로 트러스트(Zero Trust) 아키텍처를 구축하여 내부망 접근에 대한 보안을 강화하고 있습니다.
최근에는 국가 차원의 데이터 유출을 막기 위해 데이터 국경(Data Sovereignty) 정책을 강화하는 추세입니다.