핵심 요약
- Operation Highland로 명명된 침투 캠페인은 대상 조직의 인증 스택을 탈취해 10년간 지속적 접근을 유지한 것으로 Bleeping Computer가 분석했습니다.
- 공격자는 행정 활동 전체를 실시간으로 모니터링할 수 있었으며 고립 네트워크 환경에서도 가시성을 확보한 것으로 보도됩니다.
- 해당 침투는 중국 연계 해커 그룹의 소행으로 추정되며 장기 APT의 전형적 특성을 보여준 것으로 분석됩니다.
인증 인프라 자체가 첫 번째 침투 목표가 되는 시대에 제로트러스트 전환이 필수적이라는 논의가 확산되고 있습니다.
2026년 6월 13일 Bleeping Computer는 중국 연계 해커 그룹이 특정 조직의 인증 흐름을 탈취해 10년 동안 고립망까지 가시성을 유지해 온 Operation Highland 침투 캠페인을 보도했습니다. 본 기사는 이 사례가 보여 주는 장기 APT의 기술적 특징과 고립망 보안의 환상을 분석하고, 인증 인프라 중심의 제로트러스트 전환이 왜 더 이상 미룰 수 없는 과제인지를 살펴봅니다.
Operation Highland 개요 10년 침투의 전모
캠페인 명칭과 발견 경위
Operation Highland는 Bill Toulas 기자의 기사에 따르면 공격자가 인증 스택을 장악한 시점부터 노출 시점까지 최소 10년의 공백이 존재했다는 점에서 보안 커뮤니티의 이목을 집중시켰습니다. 일반적인 침투 사고는 수개월 이내에 탐지되는 경우가 많은데 반해, 이 사건은 침투가 은밀히 유지될 수 있었던 조건과 운영 관행에 대한 근본적인 질문을 던지고 있습니다. 10년이라는 지속 기간은 단일 공격자의 인내심이 아니라 인증 체계 내부에 깊이 자리 잡은 지속성 메커니즘이 있었을 가능성을 시사합니다.
중국 연계 위협 행위자 프로파일과 귀속 근거
공격자는 중국 연계 해커 그룹으로 추정되며 CISA가 반복적으로 경고해 온 국가 지원 위협 행위자의 전형적인 작전 패턴과 일치합니다. CISA의 APT 그룹 프로파일 가이드는 이러한 행위자가 단순 데이터 탈취를 넘어 행정 의사결정 과정 자체의 가시성을 확보하는 데 목적을 둘 수 있다고 설명합니다. 인증 흐름의 탈취는 이러한 전략적 목표에 가장 부합하는 침투 경로로, 이후 단계의 모든 활동이 자연스럽게 위장될 수 있는 발판을 제공합니다.
인증 스택 탈취 침투의 핵심 기술
탈취된 인증 흐름의 작동 메커니즘
인증 스택 탈취는 단순한 자격 증명 유출과 구별됩니다. 공격자는 사용자 이름과 비밀번호뿐 아니라 인증 토큰 발급, 세션 관리, 권한 검증에 이르는 전 과정을 통제하는 중간자 형태로 침투합니다. 업계에서 알려진 일반적 APT 패턴에 따르면, 일단 인증 흐름이 장악되면 정상 사용자의 로그인 행위와 공격자의 행위를 구분하기가 극도로 어려워집니다. 보안 운영팀 입장에서는 모든 인증 이벤트가 정상으로 보이는 상황이 만들어집니다.
권한 상승과 지속성 유지 기법
10년이라는 지속 기간은 단일 백도어가 아니라 다층의 지속성 유지 기법이 결합되어야 가능합니다. 일반적으로 공격자는 정상 계정의 권한을 단계적으로 상승시키며, 동시에 도메인 컨트롤러나 인증서 저장소와 같은 핵심 신뢰 지점에 대한 접근을 확보합니다. 이후 새로운 계정을 생성하거나 정상 서비스 흐름에 백도어 명령을 삽입해 탐지 시에도 즉시 차단되지 않는 다중 안전망을 구성합니다.
행정 활동 실시간 모니터링의 기술적 배경
인증 스택이 장악되면 공격자는 사용자 행위를 능동적으로 변경하지 않고도 모니터링이 가능합니다. 로그인 직후 발급되는 세션 토큰을 복제하거나, 인증 완료 후 내부 업무 시스템으로 전달되는 호출 흐름을 가로채는 방식이 활용될 수 있습니다. 결과적으로 관리자가 보는 화면과 동일한 데이터를 사실상 실시간으로 받아볼 수 있게 되며, 이는 전통적인 악성코드 기반 모니터링과 차원이 다른 위협입니다.
고립 네트워크 침투의 의미
에어갭 환경에 대한 기존 통념의 한계
많은 조직은 인터넷과 물리적으로 분리된 에어갭 네트워크를 가장 안전한 자산으로 인식해 왔습니다. 그러나 Operation Highland는 인증 체계 자체가 이미 침투된 상태에서는 물리적 분리만으로 가시성을 차단할 수 없음을 보여 줍니다. 인증이 한 번 장악되면 정상 업무 흐름이 고립망과 외부 시스템 간 데이터를 교환하는 과정에서 공격자에게도 동일한 경로가 열릴 수 있기 때문입니다.
고립 환경에서도 가시성을 확보한 경로 분석
고립망 내부 정보가 유출되는 경로는 크게 두 가지로 분석됩니다. 첫째, 정기적인 데이터 동기화나 보고 업무를 담당하는 사용자가 장악된 인증을 통해 고립망 자산을 조회하고 그 결과를 외부로 반출하는 경우입니다. 둘째, 인증 체계 내부에 설치된 지속성 메커니즘이 고립망의 운영 시스템과 외부 인프라를 잇는 가교 역할을 하는 경우입니다. 어느 경우든 침투의 본질적 원인은 인증이라는 단일 신뢰 지점에 집중된 위험입니다.
영향 평가 및 확산 가능성
데이터 유출 범위와 비즈니스 영향
| 영향 영역 | 주요 위험 | 복구 난이도 |
|---|---|---|
| 인증 인프라 | 전체 사용자 계정의 신뢰 붕괴 | 상 |
| 고립망 자산 | 장기 데이터 유출 및 변조 가능성 | 상 |
| 행정 의사결정 | 내부 기밀로서의 가치 상실 | 중 |
| 규제 준수 | 감사 추적 무결성 손상 | 상 |
유사 산업군으로의 위협 확산 시나리오
인증 흐름 탈취는 특정 산업군에 한정되지 않는 범용 위협입니다. 정부, 국방, 금융, 핵심 제조, 의료 등 고립망을 운영하면서도 정기적 데이터 교환이 필요한 모든 조직이 잠재적 대상입니다. 특히 공급망을 통해 인증 구성 요소를 도입하는 경우, 단일 벤더의 침투가 다수 고객의 인증 체계로 확산될 수 있어 공급망 보안의 중요성이 다시 한번 부각됩니다.
대응 권고 및 보안 강화 방안
인증 인프라 강화와 제로트러스트 전환
Operation Highland의 핵심 교훈은 인증 인프라가 곧 침투의 첫 번째 목표라는 점입니다. 따라서 네트워크 위치가 아닌 사용자 신원과 디바이스 상태를 기준으로 접근을 통제하는 제로트러스트 모델로의 전환이 필수적입니다. 다 요소 인증, 최소 권한 원칙, 그리고 지속적 신뢰 평가를 결합해 단일 인증 이벤트가 영구적 접근 권한으로 이어지지 않도록 설계해야 합니다.
장기 침투 탐지를 위한 로깅과 모니터링 전략
10년 치 침투를 막으려면 정상과 비정상을 구분하는 정밀한 이상 행위 탐지 체계가 필요합니다. 인증 이벤트, 권한 변경, 민감 데이터 접근 로그를 단일 저장소로 통합하고, 통계적 기준선에서 벗어나는 사용 패턴을 자동으로 식별하는 사용자 행동 분석을 도입해야 합니다. 동시에 정기적인 위협 헌팅을 통해 자동 탐지 체계가 놓치는 저강도 활동을 보완해야 합니다.
고립망 운영 기관의 점검 체크리스트
- 고립망과 외부 시스템 간 데이터 교환 경로에서 인증 신뢰성을 재검증했는지 확인
- 인증 관련 로그의 보관 기간과 무결성 검증 체계를 점검했는지 확인
- 고립망 접근 사용자 계정의 권한을 최소 권한 원칙에 따라 재설계했는지 확인
- 인증서, 토큰, 비밀키 등 신뢰 자산을 하드웨어 보안 모듈에 격리했는지 확인
- 공급망을 통한 인증 구성 요소 도입 시 벤더 신뢰성 평가를 수행했는지 확인
핵심 정리
- Operation Highland는 인증 스택 탈취가 10년짜리 장기 침투로 이어질 수 있음을 입증한 사례입니다.
- 고립망 보안의 환상은 인증이라는 단일 신뢰 지점이 이미 침투된 경우 무력화됩니다.
- 제로트러스트 전환과 인증 인프라의 분할, 그리고 지속적 이상 행위 탐지가 동시 추진되어야 합니다.