7월 15일, 마이크로소프트가 중국 엔지니어들을 이용해 거의 10년 동안 미국 국방부 컴퓨터 시스템을 원격으로 관리했다는 사실 이 폭로 되었습니다. 그러나 이러한 명령은 기술적 역량이 부족한 "디지털 에스코트"에 의해서만 수행되었기 때문에 중국 해커들이 이러한 취약점을 악용할 수 있었습니다. 이 폭로 이후, 피트 헤그세스 미국 국방장관은 2주간의 조사를 발표했습니다.
목차
비녀장"디지털 가드" 시스템은 지난 10년 동안에야 노출되었으며, 국방부조차도 이를 알지 못했습니다.
이 시스템은 10년 전에 처음 개발되었습니다. 미국 정부 클라우드 계약을 따내기 위해 마이크로소프트는 중국 및 기타 국가의 해외 엔지니어들이 기술 유지 관리를 담당하고, 미국 국방부 보안 허가를 소지한 미국 인력이 대신 명령을 입력하는 "타협안"을 제안했습니다. 이들은 "디지털 에스코트"라고 불렸습니다.
마이크로소프트는 Insight Global과 ASM Research에 보안 요원 채용을 아웃소싱하고 있는데, 이들 대부분은 베테랑이거나 보안 허가만 소지하고 있습니다. 시급은 18달러부터 시작하며, 이들의 기술적 역량은 제한적이어서 악성코드를 식별할 수 없습니다. 한 현직 보안 요원은 다음과 같이 밝혔습니다.
"저희는 매달 중국 엔지니어들의 수백 건의 요청을 처리하고 있으며, 데이터 유출도 막아야 합니다. 하지만 저희의 기술 교육만으로는 그 공백을 메울 수 없습니다. 설령 의심스러운 지시가 발견된다 하더라도, 사후에 이를 알아내는 것은 사실상 불가능합니다. 이 엔지니어들이 아무런 잘못도 하지 않았다고 믿을 수밖에 없습니다."
이 시스템은 수년간 운영되어 왔으며, 그 중요성이 매우 낮습니다. 심지어 미국 국방부 정보시스템국(DISA)조차도 "아무도 이 사실을 모른다"고 밝혔습니다.
중국 해커들의 위협은 계속되고 있으며, 전문가들은 이것이 TikTok보다 더 위험하다고 말합니다.
국가정보국장실(ODNI)은 중국을 가장 활발한 해커 위협 원천으로 꾸준히 지적해 왔습니다. 2023년에는 중국 해커들이 미국 고위 정부 관리들의 클라우드 기반 받은 편지함을 해킹하여 6만 통의 국무부 이메일을 훔치기도 했습니다.
전 CIA와 NSA 임원인 해리 코커는 보안 시스템을 본 후 다음과 같이 말했습니다 .
"내가 중국 정보원이라면, 이는 침투를 위한 완벽한 기회가 될 겁니다."
그는 이 문제가 틱톡 관련 간첩 활동이나 중국 유학생 관련 우려보다 훨씬 더 심각하다고 강조했습니다. 전 국방부 정보국장 존 셔먼 또한 이 소식을 듣고 놀랐습니다.
"이 사실을 알고 있어야 하며, DISA와 미국 사이버 사령부가 이를 검토해야 합니다."
전문가들은 중국 법이 "합법적"이라고 간주되는 한 정부가 기업이나 시민으로부터 데이터를 수집할 수 있도록 허용한다고 경고합니다. 다시 말해, 중국에 있는 마이크로소프트 직원들은 언제든지 정보기관에 정보를 제공하라는 요청을 받을 수 있으며, 이는 정보 보호 시스템의 효과를 상실하게 할 수 있습니다.
Guardian은 어떻게 작동하나요?
"디지털 가드"의 작동 과정은 다음과 같습니다.
중국 엔지니어들이 유지 관리 요구 사항을 제시했습니다. 중국 Microsoft 엔지니어들이 방화벽 유지 관리, 시스템 기록 확인 등과 같은 요구 문서를 공개했습니다.
미국 디지털 경비원에 명령이 내려졌습니다. 미국 국내 경비원이 중국 엔지니어들과 회의를 갖고 논의할 예정입니다.
경비원들은 지시사항을 그대로 따랐습니다. 중국 엔지니어들이 경비원들에게 컴퓨터 지시사항을 전달했고, 경비원들은 이를 국방부의 클라우드 시스템에 직접 입력했습니다.
보안 가드는 코드의 내용을 구별할 수 없습니다. "fix_servers.sh"라는 이름의 스크립트가 있지만 실제로는 악성 프로그램인 경우 보안 가드는 이를 식별할 수 없습니다.
시스템 설계에 참여한 마이크로소프트 엔지니어 매튜 에릭슨은 경비원들이 기껏해야 "기술적인 이해도"가 부족할 뿐이며, 실제 유지 관리 작업은 여전히 해외 엔지니어들에게 의존해야 한다고 인정했습니다. 경비원들은 해외 엔지니어들이 비밀번호나 개인 정보를 열람할 수 없도록만 관리합니다.
왜 이런 시스템이 있는 걸까?
미국 국방부는 민감한 데이터를 다루는 사람은 누구나 미국 시민권자이거나 영주권 소지자여야 한다고 규정하고 있습니다. 그러나 마이크로소프트 팀은 전 세계에 분산되어 있으며, 중국, 인도, 유럽에 대량 엔지니어가 근무하고 있어, 대량 미국인 엔지니어를 임시로 고용하는 데에는 비용이 너무 많이 듭니다.
당시 마이크로소프트의 "FedRAMP 로비스트"인 인디 크롤리는 정부에 로비 활동을 벌이며 클라우드 유지 관리 리스크 다른 정부 공급업체보다 크지 않다고 주장했습니다. 국방부는 미국인 엔지니어를 고용하라고 권고했지만, 크롤리는 정부의 클라우드 전환 비용이 엄청나게 높아질 것이라고 판단하여 이를 거부했습니다. 결국 마이크로소프트는 가디언 시스템을 가장 비용 효율적이고 노동력 절감 효과가 큰 솔루션으로 채택하여 국방부의 요구 사항을 큰 부담 없이 충족했습니다.
(참고: FedRAMP는 미국 연방 리스크 에서 추진하는 표준화된 프로그램으로, 정부 기관에서 사용하는 클라우드 제품과 서비스에 대한 통합된 보안 평가, 승인 및 지속적인 모니터링 메커니즘을 제공하여 이러한 클라우드 서비스가 보안 기준을 충족하는지 확인합니다.)
내부인사 경고가 있었지만, 고위 경영진은 이를 무시했습니다.
마이크로소프트 내부에서는 보안 리스크 너무 높다며 이 시스템에 반대하는 사람들이 있었습니다. 그러나 당시 클라우드 플랫폼 책임자였던 톰 킨은 업무 확장의 용이성을 이유로 이 시스템을 강력히 추진했습니다. 처음에 반대했던 사람들은 결국 사임했고, 보안 시스템은 도입되었습니다. 이후 마이크로소프트 보안 임원들은 보안 시스템의 허점을 거듭 경고했습니다. 해외 엔지니어들이 보안 담당자들이 문제를 감지하지 못한 채 미국 연방 클라우드 관련 정보에 접근할 수 있다는 것입니다. 이러한 경고에도 불구하고 회사의 결정은 바뀌지 않았습니다.
Microsoft는 더 이상 중국 엔지니어를 방위 시스템 지원에 사용하지 않는다고 밝혔습니다.
논란이 드러난 후, 마이크로소프트는 중국 엔지니어들이 "국방 시스템에 직접 접근"하는 것을 허용하지 않고 단지 지시만 내렸다고 주장했습니다. 해당 보안 요원들은 완전한 기술 교육을 받았으며 감시 활동에도 협조했습니다. 또한 "락박스(Lockbox)"라는 내부 검토 절차가 있다고 강조했지만, 자세한 내용은 공개되지 않았습니다.
마이크로소프트 사장 브래드 스미스 역시 5월 상원 청문회에서 "중국 국적자를 정부 기관에서 배제하고 있다"고 언급했지만, 애초에 이들이 어떻게 이러한 시스템에 접근하게 되었는지는 설명하지 않았습니다. 마이크로소프트 대변인 프랭크 쇼 역시 7월 19일에 다음과 같이 트윗했습니다 .
"중국 엔지니어는 미국 방위 클라우드 및 관련 서비스에 기술 지원을 제공하지 않을 것입니다."
미국 국방부 장관 피트 헤그세스도 이 문제에 대해 7월 19일에 트윗을 올렸습니다 .
"중국 엔지니어들이 국방부 클라우드 서비스에서 완전히 배제되고 중국 국민의 참여가 더 이상 허용되지 않도록 2주간의 조사가 시작될 것입니다. 또한, 우리는 군사 인프라와 사이버 위협을 지속적으로 감시하고 대응할 것입니다."
리스크 경고
암호화폐 투자는 높은 리스크 수반합니다. 가격 변동이 심할 수 있으며, 투자 원금을 모두 잃을 수도 있습니다. 리스크 신중하게 평가하시기 바랍니다.
어제, 탈중앙화 무기한 스왑 거래소(Perp DEX)인 GMX가 사이버 보안 사고에 연루된 것으로 알려졌습니다. 이전 버전인 GMX V1이 해킹되어 4천만 달러 이상의 손실을 입었습니다. GMX 개발팀은 V2와 주요 토큰은 영향을 받지 않았지만, 커뮤니티 신뢰가 심각하게 훼손되었을 가능성이 있다고 밝혔습니다.
목차
비녀장GLP 가격 알고리즘 악용해 해커 4천만 달러 훔쳐
GMX는 어제 GLP 자산 풀에 대한 공격으로 인해 GMX V1에서의 모든 거래 작업을 긴급히 중단하고 Arbitrum과 Avalanche 네트워크에서 GLP 토큰의 민트 및 상환 메커니즘을 완전히 중단했다고 공식 발표했습니다.
GLP는 비트코인, 이더, 스테이블코인을 포함한 자산으로 지원되는 GMX의 유동성 토큰입니다. 온체인분석 에 따르면, 이 공격은 GLP 가격 책정 로직의 설계 결함에서 비롯되었습니다. 해커들은 자금을 훔치기 위해 총 운용 자산(AUM)을 조작했습니다.
v1에서 공매도(Short) 포지션 AUM 계산에 즉시 영향을 미쳐 공격자가 GLP 토큰 가격을 조작할 수 있도록 합니다. 공격자는 이 설계 결함을 악용하여 주문 실행 중 재진입 공격을 수행하여, GLP의 평균 가격을 조작하기 위해 대량 공매도(Short) 포지션 성공적으로 구축하고, 가격을 인위적으로 부풀린 후 해당 가격을 환매하여 수익을 창출했습니다.
GMX 팀은 이번 사고가 V1에만 영향을 미쳤으며, V2, 전체 시장 메커니즘, 그리고 핵심 GMX 토큰에는 영향을 미치지 않았다고 강조했습니다 . 그러나 팀은 모든 사용자에게 잠재적 리스크 확대를 방지하기 위해 레버리지 및 GLP 민트 즉시 비활성화할 것을 촉구했습니다. 팀은 현재 화이트햇(White Hat) 보상으로 10%의 현상금을 제공하고 있지만, 공격자는 지급을 꺼리는 것으로 보입니다.
Perp DEX의 기술 혁신과 시장 경쟁: 온체인 영구 계약 거래소 의 기회와 과제에 대한 간략한 논의
인피니의 공동 창립자인 준주(Junzhu)도 이를 한탄했습니다. "한때 DEX 거물이었던 이 사람의 몰락보다 더 슬픈 것은, 그에게서 엄청난 돈이 도난당했음에도 불구하고 중국 커뮤니티에서 그에게 관심을 갖는 사람이 거의 없다는 사실입니다."
영웅은 갑자기 죽지 않습니다. 그는 단지 역사의 급류와 사람들의 기억 속에서 점차 사라질 뿐입니다.
2025년까지 암호화폐 해킹 피해액 25억 달러에 달할 전망
GMX는 고립된 사례가 아닙니다. 며칠 전 Chainalysis 보고서에 따르면 전 세계 암호화폐 업계는 올해 상반기 사이버 보안 사고로 인해 누적 25억 달러의 손실을 입었으며, 특히 14억 달러 규모의 Bybit 해킹 사건이 가장 큰 피해를 입었습니다. 이는 올해 초 이후 가장 큰 규모의 단일 사고이자 가장 큰 피해를 입힌 공격이었습니다.
Bybit CEO, 북한 해커 그룹 라자루스에 전쟁 선포, 도난 자금 회수 시 1억 4천만 달러 보상금 제공
반면, 몇 주 전 이란 최대 암호화폐 거래소 인 노비텍스(Nobitex )는 친이스라엘 해커 그룹인 곤제슈케 다란데(Gonjeshke Darande)의 해킹을 당해 8,100만 달러(한화 약 900억 원) 이상의 손실을 입었습니다. 이는 중앙집중형 플랫폼이든 탈중앙화 플랫폼이든 해킹 공격으로부터 자유로울 수 없음을 보여줍니다.
사이버 보안 취약점에서 국가 안보까지: 북한 해커들이 세계적 위기로 부상
빈번한 공격이 이어지면서, 미국 재무부 해외자산통제국(OFAC)도 이번 주 북한 해커 조직 안다리엘(Andariel)에 대한 새로운 제재를 발표했습니다. 송금혁(Song Kum Hyok)이라는 이름의 이 조직원은 사회공학적 기법과 네트워크 침투를 통해 여러 암호화 기업과 방위산업체를 공격하고, 핵심 기술과 자산을 탈취하려 시도한 혐의를 받고 있습니다.
(미국 재무부, 북한 IT 근로자 단속! 암호화폐 사기, 자금 세탁, 불법 자본 거래 등 여러 가지 사실 폭로 )
미국 당국은 "이러한 해커 그룹은 북한 정권과 긴밀히 연결되어 있으며, 디지털 자산과 암호화폐 거래 네트워크를 악용해 국제 제재를 회피하고, 간첩 활동, 자금 세탁 작전을 수행하는 것을 목표로 한다"고 밝혔습니다.
GMX V1 공격은 DeFi 프로토콜이 정교한 경제 모델뿐만 아니라 강력한 방어 메커니즘과 지속적인 리스크 테스트를 필요로 한다는 것을 다시 한번 보여줍니다. 전 세계적인 해킹 기법이 국가 행위자와의 협력을 포함하여 계속 발전함에 따라, 암호화폐 분야는 앞으로 더욱 심각한 보안 문제에 대면 될 것입니다.
리스크 경고
암호화폐 투자는 높은 리스크 수반합니다. 가격 변동이 심할 수 있으며, 투자 원금을 모두 잃을 수도 있습니다. 리스크 신중하게 평가하시기 바랍니다.
