무슨 일이 일어났나
2026년 2월 17일, FBI가 자체 네트워크에서 비정상적인 로그 활동을 감지했습니다. 조사 결과, FBI의 **디지털 수집 시스템 네트워크(Digital Collection System Network)**가 침투당한 것으로 확인됐습니다.
이 시스템에는 다음이 포함됩니다:
- 법원 승인 도청(wiretap) 데이터
- 펜 레지스터(pen register) 기록
- FISA 영장 관련 정보
- 수사 대상자 개인정보
CNN, NPR, The Register, Malwarebytes 등 주요 매체가 보도했으며, FBI, CISA, NSA가 합동 조사를 진행 중입니다.
어떻게 침투했나
공격자는 FBI 네트워크에 직접 침투하지 않았습니다. 대신 FBI 시스템에 연결된 **상용 인터넷 서비스 업체(ISP)**의 인프라를 먼저 장악하고, 그 연결을 통해 FBI 내부로 들어왔습니다.
이른바 **공급망 공격(supply chain attack)**입니다. 정문이 아닌 납품업체의 출입문을 통해 건물에 들어간 것과 같습니다.
FBI가 2월 17일 이상 징후를 감지한 뒤에도 침투 범위와 심각도를 파악하는 데 수 주가 걸렸습니다.
누가 했나
미국 수사 당국은 중국 정부 연계 해커를 유력 용의자로 보고 있습니다. 다만 2023~2024년 미국 통신사 9곳의 도청 시스템을 해킹한 Salt Typhoon과 동일 그룹인지, 별개의 행위자인지는 아직 확인되지 않았습니다.
Salt Typhoon은 중국 정부의 지원을 받는 것으로 알려진 사이버 스파이 그룹으로, 미국 주요 통신사(AT&T, Verizon, T-Mobile 등)의 도청 인프라를 공격한 전력이 있습니다.
왜 심각한가
FBI의 감청 시스템은 미국 법 집행의 핵심 인프라입니다. 이 시스템이 노출되면:
- 진행 중인 수사가 무력화될 수 있음 (수사 대상자가 감청 사실을 알게 됨)
- 정보원(informant)의 신원이 위험에 처할 수 있음
- FISA 영장 정보 유출로 국가 안보 정보가 노출될 수 있음
FBI 스스로가 해킹당했다는 것은 사이버 보안의 "최후의 방어선"이 뚫렸다는 의미이기도 합니다.
지금 할 수 있는 대응법
이 사건은 개인 사용자에게 직접적 영향은 없습니다. 다만 공급망 공격의 교훈은 모든 조직에 적용됩니다:
- 서드파티 접근 관리: 외부 업체가 내부 시스템에 접근하는 경로를 최소화하고 모니터링
- 네트워크 세분화(segmentation): 핵심 시스템을 일반 네트워크와 물리적으로 분리
- 이상 로그 감지: 정상 패턴과 다른 네트워크 활동을 자동으로 경보
- 제로 트러스트 아키텍처: "내부 네트워크는 안전하다"는 가정을 버리고 모든 접근을 검증
참고