FBI, 서방이 팔 걷어붙인 중국 사이버 공격

한때 해커 집단 정도로 취급받던 중국 공산당이 이제 미군에 의해 최대의 사이버 위협이자 “견제해야 할 적수”로 간주되고 있다. 단순한 첩보 활동뿐만 아니라 핵심 인프라에 대한 사보타주 능력도 갖춘 것으로 평가된다.

미국에서 올해 나온 십여 개의 사이버 보안 문건들은 점점 더 정교해지는 중국의 사이버 역량에 대해 경고하고 있다. 한 보고서는 2024년을 중국 사이버 첩보 활동의 “전환점”이라고 명명했다.

미국의 주요 인프라와 통신 네트워크에 대한 중국의 대규모 해킹은 수개월, 수년간 탐지되지 않았다. 초기 몇 년간의 노골적이고 무차별적인 사이버 활동이 아닌, 보다 정교하고 은밀해진 것이다.

중국의 이러한 변화는 갑작스러운 것이 아니라, 사이버 분야에 대한 약 30년간의 대규모 투자의 자연스러운 결과다.

미국의 사이버 공격 전문가들에 따르면 이미 1996년쯤부터 중국이 국가적 차원에서 사이버 공격을 벌여 ’27개 또는 37개 군사기지’에 거리낌 없이 침투하기 시작했다. 당시 중국 정부가 지원하는 사이버 공격 첫날 해병대, 육군, 공군, 에너지부가 침투당했다고 한다. 원격 공격자들은 서부 연안의 한 대학을 통해 접근했으며 계정이 폐쇄되지 않은, 과거 중국인 유학생이었던 자들의 합법적 자격 증명을 사용했다는 것이다. 중국 인민해방군은 1990년대부터 사이버 부대를 보유했다. 반면 미국이 사이버 작전을 통합하기 위해 미국 사이버 사령부(Cybercom)를 설립한 것은 2009년에서였다.

중국공산당은 오랫동안 사이버 공간을 육지, 공중, 바다와 마찬가지로 전장(戰場)으로 여겨왔다. 하지만 이전까지 미국에 대한 사이버 활동은 경제 첩보 활동, 즉 훔친 영업비밀로 중국 기업들을 지원하기 위한 활동 수준으로 평가됐다.

시진핑 집권 이후 중국의 사이버 역량은 보다 정교하고 공격적으로 진화해 왔다. 시 주석은 2015년 중국이 사이버 공간에서 초강대국이 되겠다는 의도를 밝혔다. 이후 공식 연설과 문서들을 통해 사이버 파워를 경제적, 국가적, 군사적 안보의 기둥으로 확보해야 한다고 강조해 왔다. 같은 해 그는 “군민융합” 전략을 제시했다. 상업용 기술과 군사용 기술 간의 경계를 허물겠다는 것이다.

이후 무수히 많은 해킹 경연대회가 열렸다. 성장하는 해커 산업에 실무 경험, 지식 공유, 경력 경로를 제공하는 장이다. 워싱턴 소재 싱크탱크 애틀랜틱 카운슬은 중국의 ‘깃발 뺏기(Capture-the-Flag)’ 해킹 경연대회를 분석했다. 이 대회는 서로의 시스템에 대한 공격-방어를 겨루는데, 이를 통해 국가적으로 사이버 보안 인력을 양성하고 해킹 기술을 발전시킨다. 분석에 따르면, 이 생태계는 ‘규모와 범위 면에서 압도적’이다.

중국 정부는 사이버 공격 산업의 핵심 구매자이다. 사이버 공격을 수행할 인력을 대대적으로 양성, 공급하고 있다. 지방에 있는 기관들조차도 사이버 부대를 운용하고 있다. 중국에서는 해커가 체포되어도 감옥에 가는 대신 정부에서 일자리를 제공하는 셈이다.

중국에 대한 미국과 서방의 대응도 본격화되고 있다. 미 연방수사국(FBI) 등 서방 기관들은 27일 37쪽 분량의 기술보고서를 내고 중국 정부와 연계된 "지능형지속위협(APT) 행위자들"이 벌여 온 통칭 '솔트 타이푼' 해킹 공격에 대해 파악한 내용을 공개했다.

FBI가 밝힌 입장문은 솔트 타이푼이 80여 개국 200여 개 회사를 해킹했다고 전했다. 월스트리트저널(WSJ)은 FBI가 이번 공격과 관련해 80여 개국의 약 600개 회사들에 공격 대상이 될 가능성이 있다는 경고를 보냈다고 보도했다. 다만 이 회사들이 모두 직접 해킹당한 것은 아니다.

공개된 보고서에 따르면 이 공작에는 최소 3곳의 중국 민간 사이버보안 기업 소속 행위자들이 참여한 것으로 드러났다. 쓰촨쥐신허네트워크과기유한공사(四川聚信和网络科技有限公司), 베이징환위톈충정보기술유한공사(北京寰宇天穹信息技术有限公司), 쓰촨즈신루이제네트워크과기유한공사(四川智信锐捷网络科技有限公司)는 모두 중국 인민해방군과 국가안전부 등의 정보기관에 사이버보안 관련 제품과 서비스를 납품하는 업체들이다.

이 중 쓰촨쥐신허네트워크과기유한공사는 올해 1월 미국 재무부의 제재대상 목록에 포함됐고 나머지 2개 기업은 이번에 처음 지목됐다. 미국 정부는 지난해에 중국과 연계된 해커들의 주요 기반시설 공격 움직임을 포착하고 수사에 착수했으며, 그 시점부터 언론매체들의 보도를 통해 해킹 피해나 공격 시도가 일부 공개됐다.

솔트 타이푼 공격이 시작된 정확한 시점은 확실치 않다. 2021년부터 시작됐을 것이라고 보는 시각도 있고, 2019년이나 그 전일 수도 있다는 의견도 나온다. 보고서는 이번 해킹 공작 집단이 사이버보안업계에서 '솔트 타이푼', '오퍼레이터 판다', '레드마이크', 'UNC5807', '고스트엠퍼러' 등 다양한 이름으로 보고된 중국 정부 연계 의심 해킹 사례군과 "부분적으로 중복"되지만 "1대 1 대응"은 되지 않는다고 설명했다. 그러면서 "중국 정부와 연계"된 "지능형지속위협(APT) 행위자들"이라는 일반적이고 포괄적인 표현을 사용했다.

중국 해커들은 여러 나라에서 핵심 인프라를 통제하는 네트워크에 침입하는 데 성공했으며, 그 중에는 미국 버라이즌, AT&T 등 거대 통신업체들과 주방위군 전산망도 포함돼 있었다. 또 미국 T-모바일 등 다른 기업들과 영국의 정부기관·통신업체·운송업체·군부 등도 겨냥해 공격했다.

작년 10월에는 도널드 트럼프 대통령을 포함한 미국 공화·민주 양당의 정·부통령 후보들과 캠프 관계자들의 휴대전화도 해킹 공격 표적이 됐던 것으로 알려졌다는 보도가 나오기도 했다. 다만 해킹이 실제로 성공했는지 여부는 알려져 있지 않다. FBI의 사이버부문장인 브렛 레더먼은 WSJ와 인터뷰에서 침입자들이 100만 건이 넘는 통화기록을 입수했을 공산이 크며 미국인 100여 명의 통화와 문자메시지를 표적으로 삼은 것으로 보인다고 말했다. 레더먼은 해커들이 미국 연방정부가 네트워크 감청 허가를 법원에 요청하기 위해 이용하는 시스템의 정보에 접근이 가능했던 점을 정부 입장에서 가장 우려스러운 일로 꼽았다.

이번 수사에는 미국 FBI와 국가안보국(NSA), 사이버·인프라보안국(CISA), 국방부 사이버범죄센터(DC3)와 호주, 캐나다, 뉴질랜드, 영국, 체코, 핀란드, 독일, 이탈리아, 일본, 네덜란드, 폴란드, 스페인의 정부기관들이 참여했다.

중국 정부는 '솔트 타이푼' 등 해킹공작에 관여한 적이 없다며 미국 정보기관들과 사이버보안업체들이 비밀리에 공모해 중국을 모함하고 있다고 주장했다. 주미 중국 대사관의 공보 담당자는 솔트 타이푼이 중국 정부와 연계돼 있다는 "결정적이고 신뢰할만한 증거"를 미국이 내놓지 않았다며 "중국은 모든 형태의 사이버공격과 사이버범죄에 반대하며 이에 맞서 싸우고 있다"고 말했다. 사이버 공간에서 벌어지는 미·중 패권경쟁이 산업 부문을 넘어 안보 영역에서 본격화하고 있다.

차이나랩 이충형 특임기자(중국학 박사)