[中 공안부, 민간 '사이버 스파이' 계약 증거 유출]

중국 정부와 군사당국이 자국의 보안업체를 활용해 외국 정부와 기업과 인프라에 대한 대규모 해킹에 나서고 있는 것으로 확인돼 충격을 주고 있다. 그동안 중국 당국의 외국 정부나 기업 해킹은 많이들 거론된 바 있지만, 이번에는 중국 정부와 연계된 해킹 그룹에서 유출된 데이터들을 분석한 결과 이같은 사실이 드러났다는 점에서 중국은 변명의 여지가 없게 됐다.

워싱턴포스트(WP)는 21일(현지시간) “중국 정부와 연계된 해킹 그룹에서 유출된 데이터에는 570개 이상의 파일, 이미지, 채팅 로그 기록 등이 포함됐는데 약 8년에 걸쳐 외국의 데이터를 해킹하거나 수집한 기록들이 담겼다”면서 “마이크로소프트, 애플, 구글 등 미국의 대형 IT업체들이 표적이 된 가운데 인도, 홍콩, 태국, 한국, 영국, 대만, 말레이시아 등 20여개 국가 및 지역 정부도 그 타깃이 됐다”고 보도했다.

WP는 이어 “유출된 문서들이 '안쉰'으로도 알려진 상하이에 본사를 둔 중국 회사 '아이순'(iSoon)에서 나온 것”이라면서 “이 회사는 해킹 등을 통해 수집한 정보를 중국 정부 기관과 보안 그룹, 국유기업 등에 계약을 맺고 판매해 왔다”고 전했다.

일각에서는 ‘아이순’이 중국 공안부(MPS) 소속으로 의심하고 있으며, 이번에 유출된 데이터들이 ‘아이순’이 보유한 스파이 활동 관련 데이터일 것으로 추정하고 있다.

이에 대해 구글 클라우드 맨디언트 위협 인텔리전스 총괄 존 헐트퀴스트(John Hultquist)는 “맨디언트는 이번에 유출된 데이터가 중국 밖에서 중국의 글로벌 및 국내 사이버 스파이 활동을 지원하는 계약 조직(contractor)의 진짜 데이터라고 믿을만한 충분한 증거를 확보했다”고 밝혔다.

이어 그는 “이들은 20년 전 조직돼 현재 합법화된 중국의 애국적 해킹 그룹과 연관이 있는 계약 조직들 중 하나”라면서 “해당 데이터는 공격자가 공안부, 국가안전부, 인민해방군, 인민해방군 해군을 포함한 여러 후원 조직을 위해 일하고 있다는 것을 보여준다”고 분석했다.

이번에 유출된 데이터는 양은 많지 않지만 중요도가 높은 것으로 알려졌다. 지금까지 어떤 데이터 유출도 이번 사건처럼 인텔리전스 기관의 내부 운영에 이렇게 접근할 수 있었던 경우가 없었기 때문이다.

실제로 공개된 한 스프레드시트에는 이 회사의 해커가 성공적으로 침투한 것으로 보이는 80개의 해외 표적이 나열돼 있었다. 여기에는 95.2GB(기가바이트)의 인도 이민 관련 데이터와 중국의 화웨이 제품을 쓰는 한국 모 통신사에서 수집한 3TB(테라바이트)의 통화 기록이 포함됐다. 또 홍콩, 카자흐스탄, 말레이시아, 몽골, 네팔, 대만의 다른 통신 회사도 표적이 됐다고 WP는 소개했다..

특히 이 회사는 중국이 자국 영토라고 주장하는 2300만명의 섬 대만으로부터 459GB 규모의 도로 매핑 데이터 샘플도 보유하고 있는 것으로 나타났다. 또한 대만의 외교부와 정보기관, 입법원과 관련된 정보도 포함되어 있었다.

이에 대해 국가 안보 전문가이자 싱크탱크인 실버라도 정책 액셀러레이터의 회장인 드미트리 알페로비치는 “도로 데이터는 중국이 대만 침공에 나설 경우 매우 유용한 정보”라면서 “병력을 이동시키려면 고속도로 지형과 교량, 터널의 위치를 파악하는 것이 필수적”이라고 말했다.

WP는 더불어 “해커들이 영국 내무부, 외무부, 재무부 등을 포함해 영국 싱크탱크인 채텀 하우스와 국제전략문제연구소 등을 표적으로 삼았다는 사실과 함께 파키스탄, 캄보디아를 포함해 긴밀한 관계를 유지하는 외교 파트너 국가들로부터 정보를 캐내려고 시도한 사실도 드러났다”고 전했다

이와 관련해 AP는 “유출된 계약서 초안 중에는 아이순이 중앙아시아와 동남아시아의 위구르족을 추적하기 위해 신장위구르자치구 공안에 테러 방지 기술을 지원하겠다고 홍보하는 내용도 있었다”면서 “전문가들은 해킹이 티베트인, 위구르족 등 소수민족과 관련된 조직을 표적으로 삼는 경우가 많다”고 지적했다.

WP는 또한 “아이순 같은 회사는 중국의 광범위한 해킹 생태계의 일부분일 뿐”이라면서 “중국 공안부, 국가안전부, 중국 인민해방군 등 정부 기관을 위해 일하는 중국의 해커들이 매우 많을 것”으로 추정했다.

WP에 따르면, 실제로 ‘아이순’만 해도 중국 공안과 작게는 1천400달러(약 180만원)부터 최대 80만 달러(약 10억6천만원)에 이르는 다년 계약에 이르기까지 수백 건의 계약을 체결한 것으로 나타났다.

나아가 “중국 인민해방군은 소속 해커들을 통해 지난 1년간 직접 미국의 주요 인프라 기관 20여곳의 컴퓨터 시스템에 침입하여 전력 및 수도 시설, 통신 및 교통 시스템을 교란할 수 있는 발판을 마련하기 위해 노력하기도 했다”고 WP는 전했다.

[중국의 해킹 데이터 유출, 내부 불만자의 소행 추정]

한편 이번 해킹 데이터 유출 사태를 누가 일으켰는지는 확인되지 않고 있지만, 이번 유출 사건이 흥미로운 것은 데이터를 유출한 이가 경쟁 인텔리전스 기관에 불만을 품은 내부자나 심지어 경쟁 관계에 놓인 계약자일 수도 있다는 것이다. 특히 주목되는 점은 이 계약 조직이 동종 업계 피어(peer)와 현재 소송 중이라는 점이다. 이에 대해 익명을 요구한 ‘아이순’ 직원들은 중국 공안당국이 유출 경위를 조사하고 있다고 전했다.

다만 사이버 보안 전문가들은 회사에 불만을 품은 전직 직원 소행이거나 ‘아이순’과 경쟁하는 업체의 해킹을 통한 유출 가능성을 제기하고 있다.

실제로 ‘아이순’ 파일에는 열악한 급여와 업무량에 불만을 품은 직원들의 불만이 담겨 있었다. 또한 유출자는 자신을 내부 고발자라고 소개하며, 아이순이 정부 고객을 '속이기 위해' 사용하고 있는 과실, 열악한 근무 환경, '저품질' 제품을 폭로했다. 직원들의 불만이 담긴 것으로 표시된 채팅에서 직원들은 성차별, 장시간 근무, 매출 부진에 대해 불평했다.

이에 대해 중국 해킹에 관한 책을 쓴 전 FBI 분석가인 아담 코지는 “중국의 많은 해커들이 한 달에 1,000달러 미만으로 일하며, 중국에서도 놀라울 정도로 낮은 임금을 받는다”고 말했다.

[“中해킹부대 1년간… 印太지역 美기간시설 20여곳 침투”]

그런데 중국 해킹 부대가 최근 미국 교통, 통신, 수도 같은 주요 사회 기반시설 시스템에 침투한 것으로 확인된 바 있다. 해킹 표적이 된 시설은 대만해협 문제같이 미중 양국이 충돌할 가능성이 있는 인도태평양 지역에 몰려 있었다.

WP는 지난해 12월 11일 “미 정부 및 보안 업계 관계자들에 따르면, 중국 인민해방군(PLA) 해킹 부대가 최근 1년간 20여 기간 시설에 침투했다”고 보도한 바 있다. 작전명 ‘볼트 태풍(Volt Typhoon)’인 이 해킹 대상에는 하와이 수도 시설과 미 본토 서해안 주요 항구, 한 곳 이상의 석유 및 가스관 등이 포함됐다.

이에 대해 모건 애덤스키 미 국가안보국(NSA) 사이버안보협력센터장은 “하와이를 포함한 인도태평양 지역 목표물에 초점이 맞춰진 것으로 보인다”고 말했다. 해킹 부대는 사무실이나 가정 와이파이 공유기를 통하여 침투해 해당 시설의 직원 자격 증명 자료를 탈취하려고 한 것으로 나타났다.

WP에 따르면, 해킹 작전 목적은 인도태평양 지역에서 미중 간 분쟁이 생겼을 때 미국 대응력을 약화시키기 위한 것으로 분석된다.

이에 대해 브랜던 웨일스 미 국토안보부(DHS) 산하 사이버안보-인프라 보안국장은 “중국의 이런 (해킹) 시도는 분쟁이 발생했을 때 주요 인프라 작동을 방해하거나 파괴할 수 있도록 해놓고 아시아에 대한 미국의 전력 투여를 막고 사회 혼란을 야기해 (미 정부) 의사 결정에 영향을 주기 위한 것이 분명하다”고 설명했다.

이에 대해 미 정부 관계자는 “중국의 해킹으로 해당 지역 수도 교통 통신이 영향을 받거나 가동이 중단되는 피해는 없었다”고 밝혔다. 다만 지난해 5월 마이크로소프트(MS) 연구진은 볼트 태풍 작전으로 “해킹 부대가 대만해협에서 가까운 미국령 괌의 통신 등 기간 시설에 침투했다”면서 “이 같은 활동은 2년 전 처음 포착됐다”고 밝히기도 했다.

[“中국가안전부, 작년 1월 文정부 외교부 메일 4.5GB 해킹”]

한편, 문재인 정부 때인 지난 2022년 1월 외교부가 중국 당국의 해킹 공격을 당해 4.5GB(기가바이트)에 이르는 이메일이 유출된 것으로 지난해 11월 8일 확인된 바 있다.

당시 우리 국가정보원은 해킹 공격의 진원지로 한국의 국정원 격인 중국 국가안전부(MSS)를 특정했다. 중국 스파이 활동의 본산인 국무원 산하 국가안전부가 한국 정부와 청와대를 상대로 청와대 전산망애 침투해 국방부 관련 문서를 빼내며 정보 수집을 시도한 구체적 단서를 한국 정보 당국이 포착했다는 의미다. 중국 국가안전국이 한국 정부 상대 해킹 주체로 특정된 것은 처음이다.

이같은 중국의 해킹 사실은 윤석열 정부로 정권이 교체된 후 한달여 뒤인 지난 2022년 4월경 우방국에서 한국 정보 채널을 통해 한국 외교부를 상대로 한 중국의 해킹 단서, 해커와 활동 시기 등에 대한 구체적 첩보와 함께 청와대 전산망을 통한 국방 정보 해킹 정황도 전달된 것으로 알려졌다.

이와 관련해 국정원은 해킹 첩보를 자체적으로 입수해 조사에 나섰고, 중국 안전부가 스팸 차단 장비의 취약 지점을 악용해 4.5GB 분량의 이메일을 유출한 사실을 확인하기에 이르렀다.

충격적인 것은 중국 국가안전부의 해킹 시도가 한중 관계 개선에 적극적이었던 문재인 정부 시절에 이루어졌다는 점이다. 한마디로 앞에서는 웃으며 악수한 듯 했지만, 대한민국 정부의 뒤통수를 후려쳤다는 점에서 중국의 본색을 다시한번 생각하게 된다.

참고로 며칠 전 우리 신문사도 국세청 이름을 도용한 러시아발 해킹 메일이 들어온 바 있다. 아마도 북한발 소행이 아닌가 보여지기도 한다. 특히 국세청 이름을 사용했다는 점에서 이러한 해킹메일이 지금도 만연할 것으로 보여 주의가 요구된다.