By ANDY GREENBERG, WIRED US
지난 몇 년간 중국은 국가의 후원을 받는 해킹 공격을 꽤 강조한 채로 운영한 듯한 모습을 보였다. 러시아와 북한이 해킹 후 정보 유출을 하는 작전을 수행하면서 심각한 수준의 파괴를 초래하는 사이버 공격을 개시함과 동시에 사이버 범죄 집단과 정보기관 간의 경계를 모호하게 만든 반면, 중국은 공격 행위가 확산되었을 때 그보다 더 전형적인 감시 활동과 정보 탈취 행위를 개시했다. 그러나 수십 개국이 중국의 온라인 사이버 공격 행위 전환과 중국의 주요 사이버 정보국의 발자취가 갈수록 북한 김정은 정권과 러시아 정부의 행동과 경쟁 구도를 형성한다는 메시지를 전달했다.
7월 19일(현지 시각), 미국 백악관이 영국 정부와 유럽연합, 북대서양 조약 기구, 일본 정부, 노르웨이 정부 등과 함께 중국발 일련의 해킹 작전을 집중적으로 강조했다. 또, 미국 법무부가 별도로 중국 해커 4명을 기소했으며, 그중 3명은 중국 국가안전부(MSS) 소속 요원인 것으로 확인됐다. 백악관의 이번 공식 성명은 마이크로소프트 익스체인지 서버의 취약점을 악용해 전 세계 기관 수천 곳의 보안을 공격한 대규모 해킹 작전을 이유로 중국 MSS를 특별히 비판한다. 또, MSS가 사이버 범죄 행위로 수익을 거두는 방위산업체와 협력하면서 사이버 공격 피해자의 랜섬웨어 감염과 같은 별도의 부도덕한 행위를 승인한 사실을 외면하는 동시에 암호화폐 채굴과 금융 탈취 목적으로 피해자의 기기를 사용한 행위도 질책했다. 미국 정부가 발표한 공식 성명은 “중국이 정부 산하 해커 조직의 범죄 행위를 다루려 하지 않으려는 태도는 세계 각국 정부와 기업, 주요 기반 시설 운영 기관에 천문학적인 비용의 지식재산권과 소유 정보, 랜섬웨어 결제, 보안 피해 완화 노력 등과 함께 천문학적인 금전적 피해를 유발한다”라고 작성됐다.
중국 정부의 디지털 범죄 행위를 나타내는 긴 목록은 중국 해커 세력의 범죄 행위가 크게 변한 상황이 반영됐다. 다수 중국 관측통은 이와 관련, 중국의 2015년도 사이버 작전 재구성 상황으로 거슬러 올라가 추적할 수 있다고 말한다. 2015년 당시 중국 정부는 인민해방군 통제 권한 상당 부분을 MSS에 넘겨주었다. MSS는 시간이 지나면서 해킹 야욕과 범죄 개시에 필요한 외부 자원을 찾을 의욕을 모두 드러냈다.
오랫동안 중국의 해킹 활동을 집중적으로 관찰해온 외교 관계 위원회(Council on Foreign Relations)의 디지털 및 사이버 공간 정책(Digital and Cyberspace Policy) 제도 총괄인 애덤 세걸(Adam Segal)은 “중국의 사이버 공격 세력의 규모는 날이 갈수록 커진다. 해커의 수 자체는 감소했으나 전체 조직 규모는 이전보다 더 커졌다”라고 언급했다. MSS가 협력하는 민간 해커 상당수가 정부 후원을 받는 해킹 규범을 의무적으로 준수할 필요가 없기 때문이다. 이어, 세걸 총괄은 “민간 해커의 사이버 공격 행위는 정부 산하 해커보다 책임 의무가 적은 편”이라고 말했다.
하버드대학교 베퍼 과학 및 국제 문제 연구소의 비상주 펠로우인 프리실라 모리우치(Priscilla Moriuchi) 박사를 인용, MSS는 항상 간단한 사이버 공격 행위를 개시하는 데 해커와 정부 기관 중개 담당자와 정부 산하 기관, 정부 계약 기관 등을 선호했다. 모리우치 박사는 “중국 정부가 인적 네트워크로 각종 정보를 수집하는 휴민트(HUMINT)와 사이버 작전 모두 MSS가 감시 행위 적발 시 상황을 부인하면서 문제 발생 시 문제를 견딜 수 있는 개인과 기관에 접근할 네트워크를 생성하도록 한다. MSS가 사이버 작전을 위해 접촉한 기관은 모두 재빨리 사라지고, 새로운 기관이 필요할 때마다 즉시 등장한다”라고 설명했다.
정부와 계약한 기관이 중국 정부에 사이버 공격을 부인할 수 있는 기회와 효율적인 공격 개시 능력을 부여하지만, 반대로 해커가 스스로 자신의 특권을 강화한다고 보장하지는 못한다. MSS와의 계약으로 혜택을 누리는 MSS 소속 관료도 마찬가지다. 모리우치 박사는 “MSS의 구조를 계기로 MSS와 계약을 맺은 사이버 작전 기관은 사이버 범죄를 저지르기도 한다”라고 덧붙여 전했다.
백악관의 공식 성명은 전체적으로 광범위하면서 복잡하며, 간혹 관련성이 없는 각종 중국 해킹 활동을 지적한다. MSS와 관련이 있는 해커 4명을 별도로 기소한 사건에서 기소된 해커 3명은 MSS 소속이며, 모두 헬스케어부터 항공 업계까지 세계 각지의 여러 업계를 표적으로 삼은 광범위한 침입 행위를 개시했다.
그러나 기소장에 기술된 데이터 탈취행위보다 더 이례적인 문제는 7월 19일 공식 성명에서 지적한 대규모 해킹이다. 이는 현재, 백악관부터 MSS까지 서로 연결한 하프늄(Hafnium)이라는 해커 조직이 개시한 대규모 해킹 작전으로, 전 세계 3만여 개 기업의 익스체인지 서버에 침입한 것으로 확인된 대규모 해킹이다. 해커 조직은 이른바 ‘웹셸(web shells)’로 정체를 숨기면서 의도한 바에 따라 피해자의 서버 접근 권한을 다시 얻는다. 그러나 다른 해커 조직이 하프늄이 이용한 백도어를 발견하고는 다른 목적으로 악용할 수 있다. 2021년 3월, 미국 사이버보안 기술 기업 크라우드스트라이크의 전직 CTO이자 미국 비영리 사이버보안 정책 기관인 실바도르 정책 가속 (Silverado Policy Accelerator)의 창립자인 드미트리 알페로비치 (Dmitri Alperovitch)는 이완 와드(Ian Ward)와 함께 공식 블로그에 “하프늄의 웹셸은 특정 대상을 지정하지 않은 무차별적인 공격을 개시하며, 극도로 위험하다”라고 작성했다. 하프늄의 공격 개시 직후, 랜섬웨어 세력 최소 한 곳이 이를 바로 이용하려 했다.
사건 대응 및 위협 정보 기업 맨디언트(Mandiant) 소속 사이버 감시 분석 총괄인 벤 리드(Ben Read)의 설명에 따르면, MSS의 하프늄 해커가 자체적으로 랜섬웨어를 배포하거나 랜섬웨어에 감염된 네트워크 수만 개에 암호화폐 채굴 소프트웨어를 배포한 사례가 있다는 구체적인 증거는 없다. 대신, 미국 정부가 사이버 범죄와 사이버 감시 행위의 경계를 모호하게 만드는 문제로 중국 정부를 비판한 것은 도를 넘은 것이 더 분명해 보이면서 과거, 몇 년간 이어진 다른 해킹 공격 때문인 것으로 추정된다. 2020년 9월, 법무부는 정체가 밝혀지기 전, 사이버 보안계에서 바륨(Barium)이라는 별칭으로 불리던 MSS 계약 업체인 청두 404 네트워크 테크놀로지(Chengdu 404 Network Technology)에 근무하던 중국인 5명을 기소했다. 당시 법무부가 기소한 인물 모두 MSS의 사이버 작전에 협력해, 전 세계 기업 수십 곳을 대상으로 말 그대로 감시 행위와 사이버 범죄로 수익을 내는 해킹 공격을 개시했다는 이유로 기소됐다.
하프늄이 마이크로소프트를 해킹한 것처럼 바륨 소속 해커 세력도 대대적이면서 무차별적인 해킹 수법을 이용해 보안 침입 행위를 저지르고, 소프트웨어 공급사의 보안을 공격해 IT 관리 툴인 넷사랑(NetSarang), 하드드라이브 청소 툴 C클리너(CCleaner), 노트북 제조사 에이수스(Asus) 등 합법적인 소프트웨어에 악성 코드를 숨긴 채로 반복되는 공급망 공격을 개시했다. 바륨 해커가 집중 표적으로 삼은 감시 행위에 초점을 둔 사례도 있었으며, 수백만 달러 상당의 가상화폐를 탈취한 사례나 2018년에 대만 원유 기업 두 곳을 겨냥한 것과 같은 랜섬웨어 배포를 통한 피해자 네트워크 마비 사례도 발견됐다.
전략 및 국제 연구 센터(CSIS) 산하 전략 기술 프로그램 총괄인 제임스 루이스(James Lewis)는 날이 갈수록 중국의 해킹 수법 규모가 커지는 가운데, 감시 행위와 사이버 범죄가 결합된 동시에 강제 동원 성격을 지닌 해킹 공격이 펼쳐져, 중국의 해킹 작전이 러시아와 더 비슷한 양상을 보이는 상황이라고 말한다. 일례로, MSS가 대만을 겨냥한 공격을 펼칠 때, 러시아가 우크라이나를 상대로 개시하면서 심각한 피해를 초래한 사이버 공격 행위를 따라 했다. 루이스 총괄은 “러시아가 사이버 공격 행위에서 앞서고, 중국은 러시아의 행보를 따른다. 중국은 러시아의 사이버 공격 동원 행위를 면밀히 추적하고는 따라 한다”라고 설명했다.
7월 19일 자 미국 정부의 공식 성명을 계기로 MSS의 계약 업체 통제 권한 부족 문제에 새로 이목이 쏠린 가운데, 미국과 그 우호국이 중국의 사이버 공격 행위 시도를 억제하지는 못할 것으로 보인다. 영국 왕립국방안전보장연구소 소속 사이버 보안 애널리스트인 제이미 맥콜(Jamie MacColl)은 “중국은 사이버 공격 행위 자체를 부인하면서 거짓을 말할 것이다. 별도의 기업과 계약을 체결하는 것이 좋을 수도 있다. 지금도 MSS가 사이버 공격 행위와 중국 정부의 관계를 부인하기 때문이다”라고 주장했다. 다시 말해, MSS의 외부 해커 영입이라는 무차별적인 공격의 원인이 된 간단한 통제 능력은 MSS가 국제 사회의 비난을 대수롭지 않게 여기면서 넘어가도록 하기도 한다. 그와 동시에 중국이 사이버 공격을 통제할 확률이 훨씬 더 낮아진다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
How China's Hacking Entered a Reckless New Phase
지난 몇 년간 중국은 국가의 후원을 받는 해킹 공격을 꽤 강조한 채로 운영한 듯한 모습을 보였다. 러시아와 북한이 해킹 후 정보 유출을 하는 작전을 수행하면서 심각한 수준의 파괴를 초래하는 사이버 공격을 개시함과 동시에 사이버 범죄 집단과 정보기관 간의 경계를 모호하게 만든 반면, 중국은 공격 행위가 확산되었을 때 그보다 더 전형적인 감시 활동과 정보 탈취 행위를 개시했다. 그러나 수십 개국이 중국의 온라인 사이버 공격 행위 전환과 중국의 주요 사이버 정보국의 발자취가 갈수록 북한 김정은 정권과 러시아 정부의 행동과 경쟁 구도를 형성한다는 메시지를 전달했다.
7월 19일(현지 시각), 미국 백악관이 영국 정부와 유럽연합, 북대서양 조약 기구, 일본 정부, 노르웨이 정부 등과 함께 중국발 일련의 해킹 작전을 집중적으로 강조했다. 또, 미국 법무부가 별도로 중국 해커 4명을 기소했으며, 그중 3명은 중국 국가안전부(MSS) 소속 요원인 것으로 확인됐다. 백악관의 이번 공식 성명은 마이크로소프트 익스체인지 서버의 취약점을 악용해 전 세계 기관 수천 곳의 보안을 공격한 대규모 해킹 작전을 이유로 중국 MSS를 특별히 비판한다. 또, MSS가 사이버 범죄 행위로 수익을 거두는 방위산업체와 협력하면서 사이버 공격 피해자의 랜섬웨어 감염과 같은 별도의 부도덕한 행위를 승인한 사실을 외면하는 동시에 암호화폐 채굴과 금융 탈취 목적으로 피해자의 기기를 사용한 행위도 질책했다. 미국 정부가 발표한 공식 성명은 “중국이 정부 산하 해커 조직의 범죄 행위를 다루려 하지 않으려는 태도는 세계 각국 정부와 기업, 주요 기반 시설 운영 기관에 천문학적인 비용의 지식재산권과 소유 정보, 랜섬웨어 결제, 보안 피해 완화 노력 등과 함께 천문학적인 금전적 피해를 유발한다”라고 작성됐다.
중국 정부의 디지털 범죄 행위를 나타내는 긴 목록은 중국 해커 세력의 범죄 행위가 크게 변한 상황이 반영됐다. 다수 중국 관측통은 이와 관련, 중국의 2015년도 사이버 작전 재구성 상황으로 거슬러 올라가 추적할 수 있다고 말한다. 2015년 당시 중국 정부는 인민해방군 통제 권한 상당 부분을 MSS에 넘겨주었다. MSS는 시간이 지나면서 해킹 야욕과 범죄 개시에 필요한 외부 자원을 찾을 의욕을 모두 드러냈다.
오랫동안 중국의 해킹 활동을 집중적으로 관찰해온 외교 관계 위원회(Council on Foreign Relations)의 디지털 및 사이버 공간 정책(Digital and Cyberspace Policy) 제도 총괄인 애덤 세걸(Adam Segal)은 “중국의 사이버 공격 세력의 규모는 날이 갈수록 커진다. 해커의 수 자체는 감소했으나 전체 조직 규모는 이전보다 더 커졌다”라고 언급했다. MSS가 협력하는 민간 해커 상당수가 정부 후원을 받는 해킹 규범을 의무적으로 준수할 필요가 없기 때문이다. 이어, 세걸 총괄은 “민간 해커의 사이버 공격 행위는 정부 산하 해커보다 책임 의무가 적은 편”이라고 말했다.
하버드대학교 베퍼 과학 및 국제 문제 연구소의 비상주 펠로우인 프리실라 모리우치(Priscilla Moriuchi) 박사를 인용, MSS는 항상 간단한 사이버 공격 행위를 개시하는 데 해커와 정부 기관 중개 담당자와 정부 산하 기관, 정부 계약 기관 등을 선호했다. 모리우치 박사는 “중국 정부가 인적 네트워크로 각종 정보를 수집하는 휴민트(HUMINT)와 사이버 작전 모두 MSS가 감시 행위 적발 시 상황을 부인하면서 문제 발생 시 문제를 견딜 수 있는 개인과 기관에 접근할 네트워크를 생성하도록 한다. MSS가 사이버 작전을 위해 접촉한 기관은 모두 재빨리 사라지고, 새로운 기관이 필요할 때마다 즉시 등장한다”라고 설명했다.
정부와 계약한 기관이 중국 정부에 사이버 공격을 부인할 수 있는 기회와 효율적인 공격 개시 능력을 부여하지만, 반대로 해커가 스스로 자신의 특권을 강화한다고 보장하지는 못한다. MSS와의 계약으로 혜택을 누리는 MSS 소속 관료도 마찬가지다. 모리우치 박사는 “MSS의 구조를 계기로 MSS와 계약을 맺은 사이버 작전 기관은 사이버 범죄를 저지르기도 한다”라고 덧붙여 전했다.
백악관의 공식 성명은 전체적으로 광범위하면서 복잡하며, 간혹 관련성이 없는 각종 중국 해킹 활동을 지적한다. MSS와 관련이 있는 해커 4명을 별도로 기소한 사건에서 기소된 해커 3명은 MSS 소속이며, 모두 헬스케어부터 항공 업계까지 세계 각지의 여러 업계를 표적으로 삼은 광범위한 침입 행위를 개시했다.
“중국은 러시아의 사이버 공격 동원 행위를 면밀히 추적하고는 따라한다.”
제임스 루이스, CSIS
제임스 루이스, CSIS
그러나 기소장에 기술된 데이터 탈취행위보다 더 이례적인 문제는 7월 19일 공식 성명에서 지적한 대규모 해킹이다. 이는 현재, 백악관부터 MSS까지 서로 연결한 하프늄(Hafnium)이라는 해커 조직이 개시한 대규모 해킹 작전으로, 전 세계 3만여 개 기업의 익스체인지 서버에 침입한 것으로 확인된 대규모 해킹이다. 해커 조직은 이른바 ‘웹셸(web shells)’로 정체를 숨기면서 의도한 바에 따라 피해자의 서버 접근 권한을 다시 얻는다. 그러나 다른 해커 조직이 하프늄이 이용한 백도어를 발견하고는 다른 목적으로 악용할 수 있다. 2021년 3월, 미국 사이버보안 기술 기업 크라우드스트라이크의 전직 CTO이자 미국 비영리 사이버보안 정책 기관인 실바도르 정책 가속 (Silverado Policy Accelerator)의 창립자인 드미트리 알페로비치 (Dmitri Alperovitch)는 이완 와드(Ian Ward)와 함께 공식 블로그에 “하프늄의 웹셸은 특정 대상을 지정하지 않은 무차별적인 공격을 개시하며, 극도로 위험하다”라고 작성했다. 하프늄의 공격 개시 직후, 랜섬웨어 세력 최소 한 곳이 이를 바로 이용하려 했다.
사건 대응 및 위협 정보 기업 맨디언트(Mandiant) 소속 사이버 감시 분석 총괄인 벤 리드(Ben Read)의 설명에 따르면, MSS의 하프늄 해커가 자체적으로 랜섬웨어를 배포하거나 랜섬웨어에 감염된 네트워크 수만 개에 암호화폐 채굴 소프트웨어를 배포한 사례가 있다는 구체적인 증거는 없다. 대신, 미국 정부가 사이버 범죄와 사이버 감시 행위의 경계를 모호하게 만드는 문제로 중국 정부를 비판한 것은 도를 넘은 것이 더 분명해 보이면서 과거, 몇 년간 이어진 다른 해킹 공격 때문인 것으로 추정된다. 2020년 9월, 법무부는 정체가 밝혀지기 전, 사이버 보안계에서 바륨(Barium)이라는 별칭으로 불리던 MSS 계약 업체인 청두 404 네트워크 테크놀로지(Chengdu 404 Network Technology)에 근무하던 중국인 5명을 기소했다. 당시 법무부가 기소한 인물 모두 MSS의 사이버 작전에 협력해, 전 세계 기업 수십 곳을 대상으로 말 그대로 감시 행위와 사이버 범죄로 수익을 내는 해킹 공격을 개시했다는 이유로 기소됐다.
하프늄이 마이크로소프트를 해킹한 것처럼 바륨 소속 해커 세력도 대대적이면서 무차별적인 해킹 수법을 이용해 보안 침입 행위를 저지르고, 소프트웨어 공급사의 보안을 공격해 IT 관리 툴인 넷사랑(NetSarang), 하드드라이브 청소 툴 C클리너(CCleaner), 노트북 제조사 에이수스(Asus) 등 합법적인 소프트웨어에 악성 코드를 숨긴 채로 반복되는 공급망 공격을 개시했다. 바륨 해커가 집중 표적으로 삼은 감시 행위에 초점을 둔 사례도 있었으며, 수백만 달러 상당의 가상화폐를 탈취한 사례나 2018년에 대만 원유 기업 두 곳을 겨냥한 것과 같은 랜섬웨어 배포를 통한 피해자 네트워크 마비 사례도 발견됐다.
전략 및 국제 연구 센터(CSIS) 산하 전략 기술 프로그램 총괄인 제임스 루이스(James Lewis)는 날이 갈수록 중국의 해킹 수법 규모가 커지는 가운데, 감시 행위와 사이버 범죄가 결합된 동시에 강제 동원 성격을 지닌 해킹 공격이 펼쳐져, 중국의 해킹 작전이 러시아와 더 비슷한 양상을 보이는 상황이라고 말한다. 일례로, MSS가 대만을 겨냥한 공격을 펼칠 때, 러시아가 우크라이나를 상대로 개시하면서 심각한 피해를 초래한 사이버 공격 행위를 따라 했다. 루이스 총괄은 “러시아가 사이버 공격 행위에서 앞서고, 중국은 러시아의 행보를 따른다. 중국은 러시아의 사이버 공격 동원 행위를 면밀히 추적하고는 따라 한다”라고 설명했다.
7월 19일 자 미국 정부의 공식 성명을 계기로 MSS의 계약 업체 통제 권한 부족 문제에 새로 이목이 쏠린 가운데, 미국과 그 우호국이 중국의 사이버 공격 행위 시도를 억제하지는 못할 것으로 보인다. 영국 왕립국방안전보장연구소 소속 사이버 보안 애널리스트인 제이미 맥콜(Jamie MacColl)은 “중국은 사이버 공격 행위 자체를 부인하면서 거짓을 말할 것이다. 별도의 기업과 계약을 체결하는 것이 좋을 수도 있다. 지금도 MSS가 사이버 공격 행위와 중국 정부의 관계를 부인하기 때문이다”라고 주장했다. 다시 말해, MSS의 외부 해커 영입이라는 무차별적인 공격의 원인이 된 간단한 통제 능력은 MSS가 국제 사회의 비난을 대수롭지 않게 여기면서 넘어가도록 하기도 한다. 그와 동시에 중국이 사이버 공격을 통제할 확률이 훨씬 더 낮아진다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
How China's Hacking Entered a Reckless New Phase
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다