보안위협 (악성코드, 취약점)/보안위협 뉴스

중국 슈퍼컴퓨터 해킹 의혹 - 관리 업체 해킹 ?

쿨캣7 2026. 6. 29. 05:15
728x90
반응형

 

2026년 4월 중국 슈퍼컴퓨터 해킹 의혹이 알려졌습니다.

 

 

https://edition.cnn.com/2026/04/08/china/china-supercomputer-hackers-hnk-intl

 

 

 

AI로 요약한 내용입니다.

 

-------------

 

FlamingChina / NSCC 티엔진 슈퍼컴퓨터 침해 사건 요약

 

기본 개요

FlamingChina라는 계정이 2026년 2월 6일 익명 텔레그램 채널에 샘플 데이터를 올리며 국가슈퍼컴퓨팅센터(NSCC) 티엔진에서 10 페타바이트(PB) 규모의 민감 데이터를 탈취했다고 주장했습니다. 항공우주공학, 군사 연구, 바이오인포매틱스, 핵융합 시뮬레이션 등의 연구 자료가 포함되어 있다고 밝혔습니다.

 

CNN 이후 추가로 확인된 내용들

판매 채널 확인 (BreachForums)

SpyCloud의 2월 사이버범죄 리포트에 따르면, 2월 4일에 airborneshark1이라는 닉네임을 사용하는 판매자가 BreachForums 파생 포럼에서 동일 데이터를 판매 게시했으며, 이 계정이 FlamingChina 텔레그램 채널도 운영하는 것으로 파악됩니다. 즉 최소 두 개의 유통 채널을 동시에 사용하고 있었습니다.

 

NetAskari의 해커 직접 접촉 (3월 25일 업데이트)

NetAskari의 Marc Hofer가 FlamingChina 측과 텔레그램으로 직접 접촉한 결과, 해커는 약 6개월에 걸쳐 데이터를 추출했으며 침해된 VPN 도메인 컨트롤러를 통해 초기 접근을 확보했다고 주장했습니다. 이후 대규모 봇넷을 분산 스토리지 겸 추출 도구로 활용했으며, 자동 무결성 체크와 재다운로드 기능도 갖추고 있어 아직도 NSCC에 접근이 가능하다고 주장했습니다. NetAskari는 봇넷의 노드 스토리지 스크린샷을 확인했으며, 데이터 규모가 주장과 일치했다고 밝혔습니다.

 

데이터 미판매 상태 확인

3월 25일 시점 기준으로 데이터는 아직 판매되지 않았으며, 복수의 잠재 구매자와 협상이 진행 중이라고 해커 측은 주장했습니다.

 

샘플 데이터 상세 내용 (NetAskari 분석)

샘플에는 2024~2025년에 작성된 비교적 최신 문서들이 포함되어 있었으며, 그 중 "秘密*10年" (10년 비밀 분류)로 표시된 문서가 있었습니다. 내용은 2025년 작성된 벙커버스터 탄약 테스트 리포트로, HIMARS 트럭(대만이 최근 도입한 시스템)의 장갑 물리 모델, 항공모함, 벙커 구조 데이터, 그리고 테스트 시리즈 중 생성된 애니메이션 시뮬레이션 영상까지 포함되어 있었습니다.

 

인사이더 위협 가능성 제기

NetAskari는 10PB 규모의 데이터를 6개월 동안 탐지 없이 유출하는 것이 외부 공격만으로는 매우 어렵다고 지적하며 내부자 관여 가능성을 언급했습니다. 이와 관련, 중국과학원(CAS)이 침해 사건 몇 주 후 J-20 스텔스 전투기의 수석 설계자 Yang Wei를 포함한 고위 군사 R&D 인사들을 퇴출시켰다는 점도 주목할 만하다고 밝혔습니다.

 

중국 정부 반응

4월 2026년 기준으로 중국 정부는 공식 확인이나 부인을 전혀 하지 않고 있습니다.


TI 관점 포인트 요약

항목내용
공격 벡터 VPN 도메인 컨트롤러 계정 탈취
지속 기간 약 6개월 (탐지 우회)
유출 기법 봇넷 활용 분산 추출 (DLP 우회)
피해 규모 주장 기준 ~10 PB
Threat Actor FlamingChina / airborneshark1 (동일인 추정)
Attribution 미확인 (국가 배후 여부 불명)
중국 정부 대응 공식 침묵 지속

 

아직 자세한 내용일 확인되지 않았고, 10PB 전체 탈취 여부 자체에 대한 회의론도 있습니다. 하지만 샘플 데이터의 진위를 검토한 여러 전문가들이 적어도 일부는 진짜라고 판단하고 있어, 실제 침해가 발생했을 가능성은 높게 보고 있습니다. 중국이 공식 반응을 전혀 안 하고 있는 것도 그 자체로 시사하는 바가 있죠.

 

-------------------

 

사건 발생 후 추가로 알려진게 있나 싶어 다시 알아봤습니다.

그런데, 슈퍼 컴퓨터가 아니라 운영기관 해킹이 아닐까 추정해봅니다.

 

분석: "슈퍼컴퓨터 해킹" vs "운영기관 해킹"

 

📍 보도된 공격 경로 확인

CNN에 따르면 해당 해커는 천진 슈퍼컴퓨터에 침해된 VPN 도메인을 통해 접근했다고 주장했다. 전문가들에게 발언한 바에 따르면, 공격자는 침입 후 자동화된 프로그램 네트워크인 '봇넷'을 배치해 NSCC 시스템에 진입한 뒤 데이터를 추출·다운로드·저장했으며, 10페타바이트 추출에 약 6개월이 소요됐다.

 

SentinelOne 컨설턴트 Dakota Cary는 이 접근 방식이 기술적 정교함보다는 아키텍처 문제에 가깝다고 평가하며, "여러 서로 다른 서버에 접근 권한을 가진 상태에서 NSCC 보안의 구멍을 통해 데이터를 끌어내는 방식 — 일부는 이 서버로, 일부는 다음 서버로 내려받는 식"이라고 설명했다.

 

🎯 님 추론과의 정합성

말씀하신 추론이 보도 내용과 정확히 일치합니다:

  1. "슈퍼컴퓨터 자체"가 아니라 "침해된 VPN"이 진입점 — NSCC가 운영하는 원격 접속/관리용 VPN 인프라가 최초 침투 경로로 지목됩니다. 슈퍼컴퓨터 하드웨어/펌웨어 자체를 직접 공략한 것이 아니라, 접근 관리 체계의 약점을 이용한 전형적인 경계 침투(perimeter breach) 패턴입니다.
  2. NSCC는 중국 전역 약 6,000개 고객사에 인프라 서비스를 제공하는 중앙화된 허브로, 실제 슈퍼컴퓨터 자원을 사용하는 다수의 기관(과학·국방 등)이 이 운영 인프라에 위탁 형태로 연결되어 있습니다. SentinelOne의 Cary는 "대부분의 고객사들은 자체 슈퍼컴퓨팅 인프라를 독립적으로 유지할 이유가 거의 없다"고 언급했는데, 이는 데이터가 NSCC라는 공유 관리 플랫폼에 집중되어 있었기에 한 번의 침투로 광범위한 영향이 가능했음을 시사합니다.
  3. 이는 통상적인 "데이터센터/슈퍼컴퓨터 해킹" 보도가 실제로는 (a) 관리 네트워크(VPN, 인증 시스템) 침해 → (b) 해당 권한으로 연결된 스토리지/서버 군에 측면 이동하는 구조인 경우와 동일한 패턴입니다. 슈퍼컴퓨터의 컴퓨팅 자체(CPU/GPU 클러스터의 연산 무결성)가 침해된 것이 아니라, **해당 자원에 접근·관리하는 주변 시스템(접근 제어 레이어)**이 뚫린 것으로 해석하는 것이 기술적으로 더 정확합니다.

⚠️ 확인 불가 사항

  • 공격자의 진술(VPN 침해 경로, 6개월간 미탐지)은 CNN이 독립적으로 검증할 수 없었다고 명시한 자기진술 기반이며, 중국 당국의 공식 확인은 아직 없습니다.
  • 데이터 진위 자체도 "FlamingChina의 유출이 거대한 블러프인지, 중국 인민공화국 군사 및 [핵심 기관에 대한] 치명적 침해의 노출인지는 세계가 지켜보고 있다"는 수준으로, 표본 검토 의견(파일 구조·메타데이터 일치)만 있을 뿐 확정적 검증은 아닙니다.

결론: 말씀하신 대로 "슈퍼컴퓨터 해킹"이라는 표현은 다소 부정확하며, 보도된 기술적 세부사항을 기준으로는 NSCC가 운영하는 원격 접속(VPN) 인프라 침해 → 연결된 스토리지로의 측면 이동을 통한 데이터 탈취로 기술하는 것이 더 정확합니다. 다만 이마저도 단일 공격자 자기진술 기반이라 "확인 불가" 표기가 필요한 부분입니다.

 

 

 

728x90
반응형