무슨 일이 있었나
CISA, NCSC-UK 및 12개의 다른 국가 사이버보안 기관은 2026년 4월 23일 권고안 AA26-113A을 발표했으며, 중국 관련 위협 행위자의 전술이 대규모 손상된 SOHO 라우터, IoT 디바이스 및 스마트 디바이스(비밀 네트워크) 네트워크로의 전환을 설명합니다. 이러한 네트워크는 정찰에서 데이터 유출까지 사이버 킬 체인 전반에 걸쳐 전략적으로 사용됩니다. 권고안은 여러 비밀 네트워크가 존재하며, 지속적으로 업데이트되고, Volt Typhoon 및 Flax Typhoon을 포함한 여러 위협 행위자에 의해 공유될 수 있음을 설명합니다.
왜 중요한가
이는 중국 관련 행위자에 의한 전략적 봇넷 사용에 대한 최초의 포괄적인 다국적 특성화를 나타내며, 개별 APT 공개를 넘어 체계적 인프라 전술을 설명합니다. 지침은 네트워크 방어자에게 기술적 IOC, 비밀 네트워크를 통해 표적이 된 조직을 위한 보호 조치 및 탐지 권장 사항을 제공합니다. AI 보안 팀의 경우, 권고안은 AI 모델 오용, API 공격 또는 에이전트 기반 정찰을 모호하게 할 수 있는 인프라 계층 위협을 강조합니다.
필요한 조치
네트워크 방어자는 권고안의 IOC를 검토하고, SOHO 및 IoT 디바이스에 대해 권장되는 보호 조치를 구현하며, 현재 모니터링이 비밀 네트워크 소스 트래픽을 탐지할 수 있는지 여부를 고려해야 합니다. AI 보안 팀은 모델 오용 탐지 시스템이 기존의 속도 제한 및 지리적 필터링을 회피할 수 있는 대규모 손상된 디바이스 네트워크에서 발생하는 트래픽을 고려하는지 여부를 평가해야 합니다.