▲ 일본 경찰청의 마쓰모토 미쓰히로(松本光弘) 장관이 일본에 대한 사이버 공격의 주범으로 중국을 공식 지목했다. [사진=일본 경시청]

[일본 항공우주산업 사이버 공격한 중국]

중국이 일본의 항공우주탐사국(JAXA)을 비롯한 200여개 일본 기업과 연구기관을 사이버 공격을 한 사실이 밝혀지면서 일본이 발칵 뒤집혔다.

일본의 닛케이아시아는 16일 일본 경찰청의 마쓰모토 미쓰히로(松本光弘) 장관이 “일본에 대한 사이버 공격의 주범으로 중국을 공식 지목했다”면서 “이 문제가 전 세계 사이버 보안계에 파문을 일으키고 있다”고 보도했다.

일본은 이미 지난 4월 22일, “중국 정부와 군이 지원하는 해커들이 미국과 일본 국방기업과 연구기관을 해킹했다”는 의혹을 제기하면서 “특히 해커집단 중 한 곳인 'UNC2630'은 중국 정부를 대신해 작전을 벌이는 것으로 의심된다”고 밝힌 바 있다.

일본 도쿄 경시청에 의하면 “중국 해커집단인 UNC2630은 지난해 10월부터 올해 3월까지 악성프로그램으로 미국 방산기업 네트워크에 접속할 수 있는 계정을 탈취해 미국과 유럽 정부 기관과 금융업체까지 해킹을 해 왔으며 우주항공연구개발기구(JAXA) 등에 사이버 공격도 가했다”고 발표했다.

또한 중국 해커집단인 UNC2630은 배후가 불분명한 'APT5'라고 명명된 해커집단과도 연계가 있었는데 이들은 미국·유럽·아시아의 방산·항공우주기업을 주로 노려온 것으로 확인됐다.

도쿄 경시청은 중국 인민해방군이 광범위한 사이버 공격에 가담했을 것으로 추정하고 있다.

이에 따라 일본 도쿄 경시청은 중국 공산당 당원으로 국영 정보통신기업 시스템엔지니어인 중국 국적의 30대 남성을 조사중이다. 이 남성은 2016~2017년 JAXA 등을 노린 사이버 공격에 이용된 일본 내 임대(렌털)서버를 가명으로 계약한 혐의를 받고 있다. 일본 경찰은 입건된 남성을 비롯해 중국인 2명이 임대서버를 중국 해커집단 '틱'(Tick)에 제공한 것으로 파악하고 있다. 그러나 그 중국인 2명은 이미 출국한 상태여서 체포하지는 못했다.

용의자는 중국 국영 통신회사에서 근무했으며 2016~2018년에 200여개 기업과 연구기관을 상대로 사이버 공격에 가담한 것으로 보인다고 당국은 밝혔다. 그는 또한 중국의 보안 시설과 관련이 있으며 자체 악성 프로그램을 개발하는 고급 해커 그룹 ‘틱’과 서버 등을 공유한 혐의를 받고 있다.

지난해 미쓰비시전기에 대한 사이버 공격에서도 ‘틱’의 개입 가능성이 거론됐다. 일본의 NEC와 고베제철도 ‘틱’을 통해 중국의 사이버 공격을 받은 것으로 알려졌다.

‘틱’은 중국군 사이버 공격 전문부대 '61419부대' 지휘를 받는 것으로 일본 경찰은 추정하고 있다. 사이버 보안업체 ‘파이어아이’는 틱을 '최소 2009년부터 활동해온 중국 첩보단체'로 규정하며 일본 수백 개 기관을 노려왔다고 밝혔다.

일본 경찰청의 미쓰히로 장관은 16일 기자회견 도중 “‘틱’이라는 중국 해커 단체가 사이버 공격의 주범 중 하나”라면서 “중국의 산둥성 칭다오시에 있는 중국인민해방군의 61419부대가 사이버 스파이활동에 관여했을 가능성이 높다”고 구체적으로 지목을 했다.

그러면서 미쓰히로 장관은 “조사결과를 통해 드러난 것만 이야기 했다”면서 “당국이 이 문제에 대해 계속 수사를 하고 있다”고 밝혔다.

[중국은 즉각 부인]

일본 경찰의 이러한 발표에 대해 중국은 즉각적으로 부인했다. 왕원빈 외교부 대변인은 “중국은 사이버 공격 자체를 단호히 반대한다”면서 “중국은 결코 그런 일을 하지 않는다”면서 일본 경찰의 주장에 대해 강력하게 부인했다.

그러면서 “일본이 그러한 주장을 하려면 믿을만한 증거를 제시해야 한다”고 말했다.

이에 대해 미쓰히로 장관은 “이번 중국의 사이버 공격에 대해 믿을만한 증거와 관련자들의 증언도 준비되어 있다”면서 중국 정부의 반박을 재반박했다.

[중국의 사이버 전사, 세계 최대 범죄조직]

중국은 자신들의 일본에 대한 사이버 공격을 극력 부인하지만 중국의 외국 정부나 기업들에 대한 사이버 공격과 해킹이 광범위하게 진행되고 있다는 것은 이미 알려진 바 있다.

중국은 아예 ‘사이버 수군(網絡水軍)’이라고 불리는 인터넷 공작 부대를 운영중이다. 이는 중국이 운영하는 3,000만명의 댓글부대를 포함해 국내외의 여론을 조작하고 더불어 사이버 공격까지 감행하는 비밀스런 조직이라 할 수 있을 것이다.

AP통신과 영국 옥스퍼드대 '옥스퍼드 인터넷 인스티튜트'(OII)가 지난 11일(현지시간) 발표한 보고서에 따르면, 지난 2014년 만들어진 ‘중앙인터넷보안·정보화영도소조’ 아래 작업국, 사이버사회공작국, 모바일인터넷관리국, 사이버보안조정국, 국제협력국 등 총 5개 부서가 있는데 이들이 ‘사이버수군’의 본체로 알려져 있다.

중국 정부는 이 조직 운영을 위해 ‘온라인 안정화’라는 명목을 붙여 매년 5000억 위안(약 86조원) 이상의 비용을 투입하고 있다. 우리나라의 국방예산 53조원을 훨씬 뛰어넘는 예산을 ‘사이버 수군’ 운영에 쓰고 있는 것이다.

이 사이버 수군은 지난 3월 2일(현지시간) 뉴욕타임스(NYT)를 통해 실체가 일부 드러나기도 했다. NYT는 이날 “지난 해 본격화된 인도와 중국간의 국경 분쟁이 진행중이던 10월 13일, 갑자기 약 2,000만 명 인구의 뭄바이 시에서 발생한 ‘도시 전체 정전(Blackout)’ 사태가 중국군 해커 부대의 소행이었으며, 당시 군부대는 물론 병원과 각종 에너지 공급시설이 심각한 타격을 받았고, 비상 발전 시설이 없는 곳들은 엄청난 피해를 입으면서, 당시 외교 협상에 적지 않은 영향을 주었다”라고 보도했다.

NYT는 이어 “당시 인도 정부의 의뢰를 받아 뭄바이 도시 전원 공습 그리드 체계에 악성 코드(malware)를 조사한 결과 당시 블랫아웃이 중국군 소행이었으며, 이는 당시 중국-인도 국경분쟁 협상에서 중국 측에 유리하게 작용하였다”고 평가했다.

그러면서 NYT는 “중국군이 당시 중국-인도 국경분쟁 마무리를 위해 중국 왕이 외교부장과 인도 수브아하마암 제아찬카 외무장관 간 외교협상이 진행중이었는데, 중국이 이 협상에서 모종의 압박을 인도에 가하는 외교적 레버리지로 사이버 공격을 가했을 가능성이 크다”고 분석했다.

“중국이 인도에 대한 사이버 공격을 쉽게 진행할 수 있었던 것은 현재 인도의 에너지 공급 그리도 체계의 상당수가 중국산 부품이었기 때문에 더 손 쉬웠을 것”이라고 NYT는 봤다.

NYT는 “특히 중국의 사이버 공격은 단순한 정보탈취와 군사적 목표를 달성하기 위한 비대칭 외교 수단이라는 차원을 넘어 외교 협상력을 높이는 주요 수단이 되고 있다”고 분석했다. 즉 중국은 경쟁국에 “우리는 당신을 언제든지 사이버 공격으로 무력화시킬 수 있으며, 협상에 응하지 않으면 대가가 따른다는 경고를 보내는 군사적 압박”으로 사용한다는 것이다.

그러면서 NYT는 “중국은 미국 내 사이버 보안업체마저 식별하지 못할 정도의 정교한 수단으로 외국에 대한 사이버 공격을 감행한다”면서 “향후 중국이 중국에 저항하는 주변국에 사용할 수 있는 주요 수단이 될 가능성이 크다”고 경고했다.

[일본이 중국의 사이버 공격 발표를 꺼낸 이유?]

사실 사이버 공격이나 해킹에 대해 어느 한 나라를 콕 찍어 문제를 삼는 경우는 그리 흔하지 않다. 완벽한 증거가 있을 때만 가능하다는 의미다.

일본의 닛케이 아시아는 “일본의 중국 해커에 의한 사이버 공격, 특히 중국 정부가 직접 관여했을 가능성을 제시한 것은 매우 이례적”이라면서 “이는 베이징과 도쿄 사이에 상당한 신경전이 벌어지고 있다는 의미”라고 해석했다.

일본은 지난 2017년에도 북한에 의한 워너크라이 랜섬웨어 공격을 비난한 바 있다. 당시 관방장관은 사이버공격의 배후에 북한이 있다고 분명하게 지목한 바 있다. 그러나 그때는 일본 자체 조사가 아니었고 미국과 다른 나라들이 제공한 정보에 근거해 발표한 것이어서 이번과는 질적으로 다르다.

일본 당국은 지난 2015년에 일본연금공단이 사이버 공격을 받아 100만명이 넘는 가입자 개인정보가 유출된 바 있었는데, 수사에 나선 도쿄 경시청이 당시 사이버 공격에 중국의 서버가 사용되었다는 것을 파악했지만 중국 정부가 개입했다는 결정적 증거를 찾아내지는 못했었다.

그러나 이번에는 일본 경찰이 수상한 서버를 발견하고 감시를 시작했으며 결국 항공우주탐사국(JAXA)에 대한 사이버 공격을 탐지하자마자 역추적을 통해 사건의 실체를 파악하게 된 것이다. 그러면서 연관된 중국인 남성의 신원도 확인한 것으로 알려졌다.

중요한 것은 이러한 사건의 실체를 지난 4월 20일에 이미 언론들을 통해 공개가 되었음에도 또다시 일본 경찰이 이를 공개적으로 기자회견까지 하면서 확대하는 그 배경이 무엇인가 하는 점이다.

일단 일본 당국은 지난 4월의 언론보도에 대한 세계 각국의 문의가 잇따르고 더불어 사안의 중요성 때문에 일본 정부가 공식적으로 발표해 달라는 요구를 받아들인 것이라고 설명은 하지만 이 보다는 지난 4월 미일정상회담 이후 사실상 중국과 결별에 가까운 反 중국 정책을 펼치면서 중국과 대립각을 분명히 세우기 위한 작업의 일환인 것으로 판단된다.

사실 지금 일본의 분위기는 ‘탈(脫) 중국’ 바람이 확연하게 불고 있음을 알 수 있다. 지난 4일 니혼게이자이(日本經濟)신문은 “일본 기업에서 중국산 드론(소형 무인기)의 이용을 기피하는 움직임이 나타나고 있다”고 보도했다.

통신그룹인 NTT도 인프라 점검용 중국산 드론을 일본 제품 등으로 교체하기로 했다.

미국 정부가 세계 최대 드론업체인 DJI에 대해 안보 차원에서 사실상 금수조치를 발동한 것이 근본 이유다. 이에 따라 일본 정부가 올해부터 정부 기관을 대상으로 사이버 보안 위험이 높은 제품을 신속하게 낮은 제품으로 교체하라는 드론 조달 지침을 하달했기 때문이다. 이 지침으로 인해 해상보안청은 이미 중국산 드론의 사용을 중단했다.

결국 일본은 중국을 결코 신뢰할 수 없다는 결론을 내린 것이고, 여기에 일본내 200여곳에 대한 중국의 사이버 공격 사실까지 밝혀지면서 일본의 탈 중국 바람은 더욱 거세지고 있는 것이다.

[미국도 중국에 대해 사이버 위협 경고]

일본만 사이버 위협을 겪은 것은 아니다. 미국도 사이버 위협국으로 중국과 러시아, 이란, 북한을 거론하면서 사이버 보안 강화가 최우선 과제라는 입장을 밝혔다.

미케 오양 미국 국방부 사이버정책 부차관보는 14일(현지시간) 하원 군사위 사이버·혁신기술·정보시스템 소위 청문회에 출석해 "우리 경쟁자들은 정치·경제적 정보와 군사적 이점을 추구하고 우리의 안보를 약화하고자 그들의 사이버 능력을 사용하고 있다"며 "국가정보국(DNI)은 특히 중국, 러시아, 이란, 북한 그리고 그들의 대리자로부터의 사이버 위협이 극심한 것으로 평가한다"고 말했다.

오양 부차관보는 "중국은 사이버 작전을 통해 미국의 군사적 우세와 경제적 활력을 서서히 파괴하고 지식재산과 연구를 훔친다"며 "중국의 악의적인 사이버 활동은 오늘까지 계속되고 있다"면서 중국과 러시아의 악의적 사이버 공격을 특히 강조했다.

유럽연합(EU)도 17일(현지시간) 중국, 러시아, 북한 등 외국의 해킹 공격에 대한 제재 조치를 1년 더 연장했다고 미국 정치매체 폴리티코 등이 보도했다.

EU는 회원국과 제3국, 국제기구 등을 겨냥한 직접적인 사이버 공격이 가해졌을 때 제재를 부과할 수 있는 체제를 2019년 5월 17일 승인했으며, 이에 따라 지난해 7월30일 러시아, 중국, 북한 3개국의 개인과 단체를 대상으로 첫 제재를 시행했다.

이렇게 중국의 사이버 공격에 대한 전 세계적 경고와 함께 제재들이 시행되고 있다. ‘공공의 적’이 되어 버린 중국의 민낯을 우리는 지금 목도하고 있는 것이다.