보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

‘애국 해킹’ 산업 키우는 중국, 수년 동안 부정하더니 대량 정보 유출돼 전모 드러났다

입력 : 2024-02-22 23:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
숨쉬듯 해킹하는 중국의 나쁜 버릇이야 알 사람은 다 아는 것이었는데, 중국만 계속 부인하고 있었다. 하지만 그런 중국 정부를 도와 애국 해킹을 하던 기업의 내부 문건이 유출되면서 중국 정부는 보다 참신한 변명거리를 생각해내야 할 상황이 됐다.

[보안뉴스 문가용 기자] 중국의 국영 기업인 아이순(iSoon 혹은 iS00n)에서 다량의 내부 문건이 유출됐고, 그 문건이 깃허브에 올라오면서 중국 조직들의 만연한 해킹 행위가 고스란히 드러났다. 이 소식은 얼마 전 인도의 매체인 BNN이 먼저 보도했고, 그 후 워싱턴포스트가 따로 문건을 분석해 세상에 알렸다. 본지도 22일자로 개괄적인 소식을 알린 바 있다. 해킹 피해 국가의 목록에는 한국도 포함되어 있었다. 이 기사는 워싱턴포스트의 기사를 참조하여 작성됐다..

[이미지 = gettyimagesbank]


중국은 오래 전부터 다른 나라의 정부와 기업들을 해킹하는 것으로 악명이 높은 국가였다. 미국을 비롯해 서방 국가들은 이를 오랜 기간 문제 삼아 왔으나 사이버 정찰 행위의 특성상 뚜렷한 증거를 확보하기 어려워 비판에만 그쳤다. 중국은 근거 없는 비난이라고 맞받아치면 끝이었고, 최근에는 오히려 미국이 해킹을 실시하는 국가이며 자신들은 피해자라는 여론을 확산시키려 하고 있다. 그런 가운데 중국 정부에 고용돼 해킹을 실시하는 기업의 내부 문건이 공개됐으니, 서방 국가들로서는 반가운 일이 아닐 수 없다.

아이순? 어떤 피해 있었을까?
문제의 기업 아이순은 옥순(Auxun)이라고도 불리는 기업으로 싱가포르에 본부를 두고 있다. 중국 정부 기관들과 프로젝트별로 계약을 맺고 대량의 정보를 수집하는 일을 대행하는 기업이다. 고객 대부분이 중국 정부 기관들이기 때문에 내수 기업이며, 따라서 해외에는 낯선 이름이다. 워싱턴포스트에 의하면 이런 기업들이 중국에 대단히 많다는 것이 이번 문건을 통해 드러났다고 한다. 이 내용은 뒤에 좀 더 다루기로 한다.

먼저 유출된 것들에 대하여 간략히 정리하면 다음과 같다.
1) 570개 이상의 파일, 이미지, 채팅 로그 등
2) 8년 동안 20여개 국가 및 지역에서 모은 데이터
3) 인도 이민국 내부 데이터 95.2GB(를 훔쳤다는 기록)
4) 한국 LG 유플러스 고객 통화 기록 3TB(를 훔쳤다는 기록)
5) 홍콩, 카자흐스탄, 말레이시아, 몽골, 네팔, 대만의 통신사 데이터(를 훔쳤다는 기록)
6) 대만의 길과 도로 지도 데이터 45.9GB의 샘플
7) 태국 정부 기관 10곳의 내부 데이터를 훔치는 데 성공했다는 기록
8) 유럽, NATO, 영국의 데이터(해킹으로 얻어낸 것인지는 아직 확실치 않음)
9) 미국 사회 기간 시설 데이터

아직까지 누가 이 데이터를 깃허브에 올렸는지 알 수 없는 상황이지만 불만을 품은 아이순 내부자 누군가가 회사 정보를 공개한 것으로 추정된다고 워싱턴포스트는 밝혔다. 그 이유는 이번에 공개된 자료 중에 내부자들의 불만과 관련된 기록들도 상당량 포함되어 있었기 때문이다. 낮은 봉급과 긴 근무 시간이 불만의 주요 원인이었다. 평소 불평이 많은 내부자가 회사의 민감한 자료를 인터넷에 익명으로 공개하는 경우는 어느 나라에서나 심심찮게 나타나는 현상이다.

더 심각한 건 중국 정부
앞서 썼듯, 아이순처럼 중국 정부를 위해 해킹 작전을 대신 해 주는 기업들은 대단히 많은 것으로 보인다. 워싱턴포스트는 “아이순은 이러한 일을 대행해주는 산업의 일부일 뿐”이라고 설명하고 있기도 하다. 이러한 산업이 존재하고 유지될 수 있는 건 중국 정부가 이른바 ‘애국 해킹’을 장려하고 일을 꾸준히 맡기기 때문이다. 여기에 연루된 건 중국 공안부, 중국 국가안보부, 중국 군 등 영향력이 막강한 곳들이기도 하다.

정부가 나서서 애국심을 자극하고 든든한 금전적 보상까지 해주니 사실상 해킹 대행 업자들과 같은 기업들이 우후죽순 생겨나 경쟁을 하고 있다고 워싱턴포스트는 보도하고 있다. 이는 취약점을 찾아주는 대신 보상금을 지불하는 ‘버그바운티’와 비슷한 면이 있는데, 대신 버그바운티는 소프트웨어 개발사가 자신들의 소프트웨어에서 취약점을 찾아달라고 하는 것이고 중국의 애국 해킹 산업은 남의 나라에서 사용되는 소프트웨어의 취약점을 찾아달라고 하는 것이다.

물론 미국 정부 기관도 이런 면에서 완전히 떳떳하지는 않다. 수년 전 NSA라는 미국 대표 첩보 기관에서 내부 문건이 유출되어 위키리크스에 공개된 바 있는데, 당시 NSA가 개발한 것으로 추정되는 온갖 해킹 도구들이 공개되기도 했었다. 이터널블루(EternalBlue), 이터널로맨스(EternalRomance), 더블펄사(DoublePulsar) 등이 NSA의 ‘오리지널 해킹 도구들’이다. 이 도구들은 그 때 해커들의 손에 넘어가 지금까지도 활용되고 있다. 그런 미국이라도 해킹 대행 산업을 육성하지는 않고 있다.

유출된 문건에 의하면 아이순은 최근 중국 공안과 수백 건 이상의 프로젝트 계약을 맺은 것으로 보인다. 작게는 1400달러 짜리 단건 프로젝트도 있고, 크게는 80만 달러 이상의 장기 프로젝트도 있다. 들키지 않고 원하는 데이터를 가져다 준다는 것이 대부분 계약들을 관통하는 내용이라고 워싱턴포스트는 보도하고 있다. 아이순 내부자들끼리 사용한 언어에 전쟁 상황과 관련된 군사 용어들이 많이 섞여 있고, 자신들이 하는 일이 국가 안보와 발전을 위한 것이라는 강한 신념도 엿보인다고도 한다.

반응은?
아직까지 인도 정부나 한국 정부, 미국과 유럽 측에서는 어떤 반응도 내놓지 않고 있다. 정부 기관들도 그렇고 기업들도 마찬가지다. 문건의 출처가 불확실해서이고, 무엇보다 ‘당신 나라가 해킹을 했다’라고 발표하는 순간 외교 비화가 시작되기 때문에 만전을 기하고 있는 것이다.

다만 보안 업계는 해당 문건에 대해 “신뢰도가 높다”는 의견으로 기우는 중이다. 워싱턴포스트와의 인터뷰를 통해 보안 업체 맨디언트(Mandiant)는 “이 문건이 가짜라고 볼 이유가 하나도 없다”며 “중국 정부가 국내와 국외 조직들을 대상으로 펼치는 해킹 작전을 뒷받침 해 주는 계약자의 내부 데이터가 확실하다”는 의견을 피력했다.

구글은 “취약점들에 대한 세부적 정보가 이번 문건에 포함되어 있지 않았다”며 “아이순의 해커들은 표적을 정한 뒤 악성 소프트웨어를 심도록 유도하는 방법을 주로 사용한 것이 아닐까 추정할 수 있다”고 말했다. 하지만 아직까지 아이순의 공격 기법에 대해서 다 밝혀진 건 아니다. 여러 다른 기법을 사용하고 있을 가능성도 충분한 건, 중국 내 해킹 조직들이 서로의 기술과 노하우를 공유하고 있으며, 이것이 중국 정부의 주도하에 조직적으로 이뤄지고 있다는 주장이 서방 보안 업계에서 수년 전부터 나왔기 때문이다.

현 시점에 아이순의 위협으로부터 스스로를 보호하려면 기본적인 보안 수칙을 지키는 게 최선이다.
1) 출처가 불분명한 소프트웨어를 설치하지 않는다.
2) 소프트웨어와 OS를 최신화 하여 사용한다.
3) 피싱 공격에 대한 경각심을 높인다. 메일만이 아니라 문자메시지를 통한 피싱 공격에도 유의한다.
4) 비밀번호를 재설정하고, 다중인증 기능을 활성화한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)