무슨 일이 있었나
CISA, NCSC-UK, 및 12개의 다른 국가 사이버보안 기관은 2026년 4월 23일 자문 AA26-113A를 발표했으며, 이는 중국 연계 위협 행위자 전술이 대규모 손상된 SOHO 라우터, IoT 디바이스, 스마트 디바이스(비밀 네트워크)의 네트워크로 전략적으로 전환되는 주요 변화를 설명하고 있습니다. 이러한 네트워크는 정찰부터 데이터 유출까지 사이버 킬 체인 전반에 걸쳐 사용됩니다. 이 자문은 여러 비밀 네트워크가 존재하며, 지속적으로 업데이트되고, Volt Typhoon 및 Flax Typhoon을 포함한 여러 위협 행위자에 의해 공유될 수 있음을 설명합니다.
왜 중요한가
이는 중국 연계 행위자들의 전략적 봇넷 사용에 대한 최초의 포괄적인 다국가 특성화를 나타내며, 개별 APT 공개를 넘어 체계적 인프라 전술을 설명합니다. 이 지침은 네트워크 방어자에게 기술적 IOC, 비밀 네트워크를 통해 표적이 된 조직을 위한 보호 조치, 그리고 탐지 권장사항을 제공합니다. AI 보안 팀의 경우, 이 자문은 AI 모델 악용, API 공격, 또는 에이전트 기반 정찰을 모호하게 할 수 있는 인프라 계층 위협을 강조합니다.
필요한 조치
네트워크 방어자는 자문의 IOC를 검토하고, SOHO 및 IoT 디바이스에 대한 권장 보호 조치를 구현하며, 현재 모니터링이 비밀 네트워크 소스 트래픽을 탐지할 수 있는지 여부를 고려해야 합니다. AI 보안 팀은 모델 악용 탐지 시스템이 대규모 손상된 디바이스 네트워크에서 발생하는 트래픽을 고려하는지 평가해야 하며, 이는 전통적인 속도 제한 및 지리적 필터링을 회피할 수 있습니다.