보안 업계에서 중국을 하나의 거대한 ‘기업’으로 보는 이유 있어
전통의 적 러시아도 만만치 않은데...중국은 경제력으로 미국 누르고 싶어
[보안뉴스 문가용 기자] 아마도 지난 냉전의 종주국이라서 그런지 러시아와 미국이 실행하고 있는 사이버 전쟁에 대해서는 누구나 이야기 하고, 모두가 이해하고 있다. 하지만 중국의 사이버전 행위는 실상에 비해 잘 논의되지 않는다. 중국의 사이버전 행위는 서방 세계가 정의하는 전쟁과 평화라는 개념과 조금은 다르기 때문이다. 세계에서 가장 오래된 문명답게 중국은 사이버전에서도 긴 안목을 가지고 있다. 전투 한두 번 이기는 건 그들의 관심이 아니다.
[이미지 = iclickart]
얼마 전 FBI의 대첩보 부문 부국장인 빌 프리스탭(Bill Priestap)은 미국 상원법사위원회(Senate Judiciary Committee) 앞에서 중국의 이런 장기적인 계획을 간단히 요약했다. “중국 정부는 미국과 소련 사이에서 벌어졌던 냉전에서의 교훈을 아주 잘 이해하고 있습니다. 국력의 근간은 다른 게 아니라 바로 경제력이라는 것을요. 지금 미국과 중국이 양강 구도를 이루고 있는데, 결국은 경제력이 더 좋은 국가가 승리할 것입니다.”
소련은 미국이 군사력으로 무너트리지 않았다. 서방 세계와의 군비 전쟁을 하던 와중에 소련은 자연스럽게 도산해 사라졌다. 지금의 중국이라면 이런 식의 그림이 쉽게 그려지지 않을 것이다. 아니, 오히려 서방 세계가 제풀에 지쳐 소련의 운명을 맞이할지 모른다는 전망도 나타나고 있다. 그 군비 경쟁이 실제 전쟁을 위한 것이든, 사이버전을 위한 것이든 말이다.
미국의 차관보인 존 데머스(John Demers)는 중국 경제의 원리를 “3R”로 정리한다. “훔치고(rob), 복사하고(replicate), 대체하는 것(replace)입니다. 중국은 미국 기업들의 지적재산을 훔치고, 기술을 복사해 중국 시장 내에서부터 그 미국 기업을 대체하기 시작합니다. 그리고 언젠가 세계 시장으로 진출하죠.”
그러면서 존 데머스는 캐나다의 통신사인 노르텔(Nortel)과 중국의 화웨이(Huawei)를 예로 들었다. “노르텔은 세계적인 성공을 거둔 기업이었습니다. 하지만 2004년 수석 보안 고문인 브라이언 쉴즈(Brian Shields)가 한 가지 발견을 하죠. 노르텔의 시스템이 거의 전면적인 해킹 공격에 노출되어 있었던 겁니다. 해킹은 2000년에 시작된 것으로 보이고, 10년 동안 지속됐습니다.”
이 브라이언 쉴즈란 인물은 해커가 중국 정부와 관련이 있다고 보고 있고, 화웨이를 키우기 위해 노르텔을 공격했다고 믿고 있다. 그 때 “이런 공격은 일반 해커가 할 수 없으며, 국가가 개입해야만 가능하다”고 말했던 브라이언 쉴즈의 링크드인 프로파일에는 이런 말이 적혀 있다. “2004년 중국에서 실시한 대규모 해킹 사건의 IT 수석 수사관이었음. 당시 공격에 활용되고 있던 신호를 발견했고, 메모리 포렌식 기법을 사용해 수사 당시에도 진행되고 있던 침해 행위를 증명해냄.”
물론 화웨이가 노르텔 해킹 사건에 관련되어 있다는 증거는 어디에도 없다. “다만 노르텔이 2009년 1월 도산 신청을 하기까지 기우는 시간 동안, 화웨이가 세계 무대에서 급격하게 성장해갔다는 건 사실입니다.” 쉴즈의 의심이 사실이라면, 중국의 3R 경제 성장 원칙에 이만큼 부합하는 사례도 드물 정도로 시나리오가 딱딱 떨어진다.
중국 사이버전의 특징들
그러므로 중국이 지금 벌이고 있는 건 ‘경제 전쟁’이다. 다만 그것이 사이버전 형태로 대부분 드러나고 있는 것이다. 서양의 국가들은 자신들이 규정해놓은 ‘사이버전 행위’에 부합한 공격이 발견될 경우 반드시 보복하겠다고 선언하고 있는데, 중국은 이를 교묘하게 피해가고 있다. 게다가 러시아와 북한이 시끌벅적한 사이버전을 수행하고 있어 사람들의 눈이 그리로 쏠리고 있다는 것도 중국의 은밀한 사이버전을 돕는다.
또 중국 내에서 벌어지는 모든 일들은 중국 정부의 통제 하에서 발생한다는 것도 기억해야 한다. 중국 사이버전의 본질이 ‘경제 전쟁’이고 ‘중국 정부가 주도한다’는 건 여기저기서 발생하는 사이버 공격이 별개의 것이 아니라 사실은 하나의 거대한 캠페인에 속해있다는 뜻이 된다. 중국은 이미 그 자체로 하나의 거대한 기업이나 다름없다. 이 기업의 공격을 막기 위해서는 이 기업의 장기적인 목표와 방향성, 전략과 전력을 이해해야 한다. 이는 크게 법, 사이버 작전의 효과, 사이버 작전의 표적과 이유로 구분해 접근할 수 있다.
법적 배경
보안 업체 버스프라이트(Versprite)의 지정학 전문 팀은 외신과의 인터뷰에서 중국 사이버전의 법적 특징에 대해 다음과 같이 설명했다. “중국의 사이버 활동은 몇 가지 법적 장치로 보장과 통제를 동시에 받습니다. 2015년에 마련된 국가보안법이 큰 틀에서의 전략과 방향을 마련하고 있고, 2017년의 국가첩보법은 국가안보부와 공공안보부 산하 내부보안사무국이라는 두 개의 비밀경찰과 같은 조직에 힘을 실었습니다. 이 두 개의 법으로 큰 전략과 주력 도구가 완성된 것입니다.”
중국 해커의 해외 활동은 국가안전부(Ministry of State Security) 산하 중국정보기술평가센터(CNITSEC)에서 대부분 관리한다. 버스프라이트에 의하면 “APT3라는 유명 해킹 그룹은 CNITSEC의 일부로, 해외 기관들과 기구들을 표적으로 공격을 실시하고 얻어낸 정보를 국가안전부로 넘기는 역할을 하고 있다”고 한다. “그러면 국가안전부는 이런 정보를 바탕으로 더 광범위하고 장기적인 전략을 만들어내죠.”
국가안전부의 역할은 이것만이 아니다. 인민해방군이라는 중국군도 국가안전부가 통제한다. 이런 중국의 조직적인 사이버전 구조에 대해 처음 발표해 미국의 경각심을 일깨우기 시작한 건 2013년 보안 업체 맨디언트(Mandiant)다. APT1이라는 해킹 단체에 대해 알리며, 중국 사이버전의 단면을 공개한 것이다. 당시 맨디언트의 보고서는 ‘망상’이라거나 ‘허황되다’라는 비꼼과 비판을 받았는데, 지금은 아무도 그 보고서를 의심하지 않는다. 중국의 사이버전 행위라는 걸 인정한 게 불과 얼마 전의 일이라는 것이다.
중국의 사이버전 능력
2012년 보안 업체 트렌드 마이크로(Trend Micro)는 ‘표트르 1세 대왕 vs. 손무’라는 제목의 칼럼을 발표했다. 내용 중에 ‘러시아 vs. 중국’을 노골적으로 표현한 부분은 없지만, 누가 읽어도 ‘러시아 해커들이 중국의 해커들보다 실력이 뛰어나다’는 느낌을 받을 수 있었다. 이 때문인지 한 동안 중국 해커들이 욕심은 많지만 실력은 그리 대단하지 않다는 선입견이 보안 업계 내에서 팽배했다. 지금은 어떨까?
버스프라이트는 “애초에 러시아와 중국 해커들의 고급 기술의 차이를 비교한다는 게 그리 의미 있는 일은 아니”라고 지적한다. “고급 기술이 사이버전에 있어서 반드시 필요한 것이라고 말할 수 없거든요. 러시아가 페이스북과 트위터를 통해 펼친 가짜뉴스 공격을 보세요. 고급 해킹 기술과는 거리가 멀지만 원하는 바를 얻어낼 수는 있었습니다. 국가 지원 해커들이 뛰어난 실력을 가진 건 보편적으로 맞는 말이지만, 사이버전의 성공 여부를 판가름하는 데 있어 고급 실력이 필수적인 요소는 아닙니다.”
중요한 건 공격을 성공시키는 것이고, 필요한 건 그만큼의 실력이라는 게 버스프라이트의 설명이다. “현재 중국이라는 거대한 기업은 각종 사이버 능력이라는 측면에서 미국을 따라잡고 싶어합니다. 즉, 자신들이 부족한 부분을 파악하고 그 격차를 메워내는 데에 투자하고 있다는 것이죠.” 보안 업체 레코디드 퓨처(Recorded Future)의 전략 전문가인 프리실라 무리우치(Priscilla Mouriuchi)는 “실력이라는 측면에서 간단하게 설명하자면, 지난 몇 년 동안 중국 해커들이 급격하게 향상됐다고 정리할 수 있다”고 설명한다.
중국의 급성장은 어떻게 이뤄진 것일까? 무리우치는 “필요할 때마다 민간 해커들을 고용해가며 배울 것을 배우고, 해야 할 일은 해냈다”고 설명한다. “APT3나 APT10과 같은 경우 중국 정부 기관과 계약을 맺고 있는 민간 단체인 것으로 파악됩니다.” 오바마와 시진핑 사이에 있었던 ‘사이버전 행위 금지 조약’이 중국의 실력을 크게 키우는 데 일조했다는 분석도 있다. 보안 업체 트루스타(TruSTAR)의 CEO인 폴 커츠(Paul Kurtz)는 “오바마 행정부가 중국의 사이버 공격 행위를 인정하기 전까지 중국의 공격은 시끄럽고 눈에도 잘 띄었습니다. 그래서 오바마 당시 미국과 중국이 공격하지 말자고 협약을 맺은 것이죠. 그 협약 때문에 중국 해커들은 ‘아, 우리가 잘 들키는구나’를 깨달은 듯 합니다. 그 후로 중국 공격은 조용해졌습니다.”
중국의 표적
중국이 경제 전쟁을 사이버 공간에서 실시하는 이유 중 가장 큰 건 미국의 물리력이다. 아직 중국은 미국을 자극하고 싶지 않다. 그래서 중국은 기업들의 각종 기술과 더불어 국방 기술도 탐내기 시작했다. 기업들과 달리 국가의 군 관련 정보를 훔친다는 건 고도로 다듬어진 실력이 필요하다는 이야기다. 또한 절대로 은밀해야 하며, 파괴적인 행위는 일절 없어야 한다. 중국이 미군을 건드리기 시작하는 걸 들킨다면 미국이 군대를 일으킬 테니까 말이다. 은밀하기 위해 중국은 표적 공격을 주로 실시하는데, 이들의 표적은 다음 세 가지로 분류가 가능하다.
1) 사람 : 보안에서 가장 약한 고리를 언급할 때 십중팔구 ‘사람’이 꼽힌다. 또한 이 사람에게 가장 치명적인 정보가 있는 것도 사실이다. 다른 무엇보다 중요 네트워크나 데이터에 접근할 수 있게 해주는 크리덴셜이 사람이 보유하고 있는 치명적 정보다. 약한 사람을 공략해 치명적 정보를 얻어낼 수 있는데, 사람을 공격하지 않는다는 건 어리석은 짓이다. 게다가 그 사람들은 SNS 등을 통해 각종 정보를 흘리고 다니기 때문에 고급 피싱 공격에 속기 십상이다.
그래서 주식회사 중국의 해커들은 사람을 자주 공격한다. 특히 고위 관리직에 있는 주요 인물들에 대한 접근이 빈번하다. 한 번만 성공하면 은밀한 해킹 공격의 기회가 잔뜩 열린다. 그 유명한 OPM 해킹 사건을 중국이 벌인 것도 이러한 이유다.
2) 군 : 국방 관련 기술과 기밀도 중국이 자주 노리는 표적이다. 2013년 보안 업체 시만텍(Symantec)는 쓰립(Thrip)이라는 공격 단체가 벌이는 스파이 캠페인을 발견해 추적해왔다. 그리고 2018년 6월 이 그룹에 대한 보고서를 발표했다. 시만텍의 CEO인 그렉 클라크(Greg Clark)는 “쓰립은 2013년부터 활동해 온 정찰 단체로, 표준 OS 툴들을 사용해 자신들이 원하는 바를 이뤄낸다”고 설명했다. 정상 도구를 사용하기 때문에 피해자의 눈에 띄지 않는다. “쓰립이 주력으로 노리는 건 통신사, 위성 기술 업체, 국방 기업입니다.”
또한 2018년 6월에는 중국 정부가 고용한 해커들이 미국 해군 계약업체로부터 614GB의 데이터를 훔쳤다는 보도가 있기도 했다. 여기에는 새로운 무기 개발과 관련된 일급기밀 문서도 포함되어 있었다. 그 전인 3월에는 영국 정부와 관련된 조직이 중국 APT15의 표적이 되고 있다는 보도도 나왔다. 역시 군 관련 기술과 기밀을 노린 공격이었다.
2017년 4월에는 대규모 클라우드 호퍼(Cloud Hopper) 공격을 중국 해커들이 실시하기도 했다. APT10이 범인이며, 여러 곳의 관리 서비스 제공자(MSP)가 표적이었다. 최소 14개 국가에서 이 공격의 흔적이 발견됐는데, 중국 해커가 노린 건 MSP 자체가 아니라 그 고객들인 것으로 파악됐다. 2018년 12월 20일, 미국 사법부는 두 명의 중국인을 APT10의 요원이라며 기소했다.
3) 사회 기반 시설 : 사실 ‘장기적 계획’을 가지고 ‘경제 전쟁’을 벌이는 중국 입장에서 미국의 기반 시설을 공격한다는 건 적잖이 위험한 일이다. 눈에 잘 띄고, 미국을 자극시키기 좋으며, 경제적인 측면에서 얻을 것도 그리 많지 않기 때문이다. 하지만 중국이 이 부분을 그냥 방치하고 있다는 것 역시 순진한 생각이다. 커츠는 “중국은 최소한 미국 사회 기반 시설의 전체적인 지형도를 파악하는 노력은 기울이고 있을 것”이라고 예상한다. 여차하면 충분히 파괴적인 공격을 실시할 수 있도록 대비를 해놓는 것이 그 목적이라고 볼 수 있다.
무리우치는 “미국 국토안보부는 이전에 사회 기반 시설로 1) 통신, 2) IT, 3) 의료건강, 4) 국방, 5) 농업을 꼽았다”며 “이 분야들에는 이미 다양한 공격들이 등장한 바 있다”고 설명한다. “공격의 대부분은 정찰과 정보 수집입니다. 보통 정보 수집과 스파잉이라고 하면 ‘경제적인 목적’을 전제로 하는데, 중국 사이버전 행위는 그 범위를 넘습니다. 현재는 사회 기반 시설에 대한 정보들도 차곡차곡 쌓아가고 있거든요. 아직 이렇다할 피해가 직접 나타나지는 않았습니다만, 뭔가 준비 중에 있다는 건 알 수 있죠.”
요약
현재 서방 세계는 사이버전의 가장 큰 적으로 러시아를 염려하고 있다. 하지만 중국의 사이버전이 이미 시작되었다는 건 간과하고 있다. 왜냐하면 서양이 규정하는 사이버전과 중국의 사이버전이 다르기 때문이다. 중국은 느리고 조용한 공격을 통해 논란과 감시를 벗어나 자기들이 하고 싶은 일들을 하고 있다. 서양이 러시아를 주적으로 두고 사이버전 이야기를 할 때 혼자 웃으며 실익을 챙기고 있다. ‘아직 중국 해커는 실력이 부족하고 러시아는 뛰어나’라고 얘기할 때도 중국은 뒤에서 계획한 것들을 이뤄내고 있다. 지금 무역전쟁에서 미국이 우위에 있는 것처럼 보이지만, 이런 식으로 일이 계속해서 진행된다면 중국이 G1의 칭호를 얻어가는 것도 그리 먼 이야기가 아닐 수 있다.
무리우치는 “한 때 ‘메이드 인 차이나’는 조롱의 대상이었던 적이 있었는데, ‘중국 해커’에 대한 인식 역시 그 수준에 머물러 있다”고 꼬집는다. “보안 전문가, IT 전문가, 네트워크 방어 전문가 모두 이 인식을 탈피해야 합니다. 중국은 조용하고 은밀해서 그렇지 뛰어나고 지독하며, 한 가지 방향성과 지휘 아래 조직적으로 움직이고 있습니다. 이전과 다른 사이버전 행위를 통해 현대의 혼란스러운 상황을 피해가고 있기도 하고요. 사이버전의 규정을 다시 한 번 세계가 논의해야 할 때가 아닐까 합니다.”
3줄 요약
1. 전통적으로 서양의 가장 큰 적은 러시아. 사이버전을 논의할 때도 마찬가지.
2. 서양이 러시아에 집중하는 동안 실력을 쌓아가고 있는 건, 경제 대국으로 가고자 하는 중국.
3. 중국은 한 가지 목적과 지휘 아래 조직적으로 통솔되는 거대 기업과 마찬가지. 간과하면 세계 경제 주도권 쥘 수도 있음.
[국제부 문가용 기자(globoan@boannews.com)]
전통의 적 러시아도 만만치 않은데...중국은 경제력으로 미국 누르고 싶어
[보안뉴스 문가용 기자] 아마도 지난 냉전의 종주국이라서 그런지 러시아와 미국이 실행하고 있는 사이버 전쟁에 대해서는 누구나 이야기 하고, 모두가 이해하고 있다. 하지만 중국의 사이버전 행위는 실상에 비해 잘 논의되지 않는다. 중국의 사이버전 행위는 서방 세계가 정의하는 전쟁과 평화라는 개념과 조금은 다르기 때문이다. 세계에서 가장 오래된 문명답게 중국은 사이버전에서도 긴 안목을 가지고 있다. 전투 한두 번 이기는 건 그들의 관심이 아니다.
[이미지 = iclickart]
얼마 전 FBI의 대첩보 부문 부국장인 빌 프리스탭(Bill Priestap)은 미국 상원법사위원회(Senate Judiciary Committee) 앞에서 중국의 이런 장기적인 계획을 간단히 요약했다. “중국 정부는 미국과 소련 사이에서 벌어졌던 냉전에서의 교훈을 아주 잘 이해하고 있습니다. 국력의 근간은 다른 게 아니라 바로 경제력이라는 것을요. 지금 미국과 중국이 양강 구도를 이루고 있는데, 결국은 경제력이 더 좋은 국가가 승리할 것입니다.”
소련은 미국이 군사력으로 무너트리지 않았다. 서방 세계와의 군비 전쟁을 하던 와중에 소련은 자연스럽게 도산해 사라졌다. 지금의 중국이라면 이런 식의 그림이 쉽게 그려지지 않을 것이다. 아니, 오히려 서방 세계가 제풀에 지쳐 소련의 운명을 맞이할지 모른다는 전망도 나타나고 있다. 그 군비 경쟁이 실제 전쟁을 위한 것이든, 사이버전을 위한 것이든 말이다.
미국의 차관보인 존 데머스(John Demers)는 중국 경제의 원리를 “3R”로 정리한다. “훔치고(rob), 복사하고(replicate), 대체하는 것(replace)입니다. 중국은 미국 기업들의 지적재산을 훔치고, 기술을 복사해 중국 시장 내에서부터 그 미국 기업을 대체하기 시작합니다. 그리고 언젠가 세계 시장으로 진출하죠.”
그러면서 존 데머스는 캐나다의 통신사인 노르텔(Nortel)과 중국의 화웨이(Huawei)를 예로 들었다. “노르텔은 세계적인 성공을 거둔 기업이었습니다. 하지만 2004년 수석 보안 고문인 브라이언 쉴즈(Brian Shields)가 한 가지 발견을 하죠. 노르텔의 시스템이 거의 전면적인 해킹 공격에 노출되어 있었던 겁니다. 해킹은 2000년에 시작된 것으로 보이고, 10년 동안 지속됐습니다.”
이 브라이언 쉴즈란 인물은 해커가 중국 정부와 관련이 있다고 보고 있고, 화웨이를 키우기 위해 노르텔을 공격했다고 믿고 있다. 그 때 “이런 공격은 일반 해커가 할 수 없으며, 국가가 개입해야만 가능하다”고 말했던 브라이언 쉴즈의 링크드인 프로파일에는 이런 말이 적혀 있다. “2004년 중국에서 실시한 대규모 해킹 사건의 IT 수석 수사관이었음. 당시 공격에 활용되고 있던 신호를 발견했고, 메모리 포렌식 기법을 사용해 수사 당시에도 진행되고 있던 침해 행위를 증명해냄.”
물론 화웨이가 노르텔 해킹 사건에 관련되어 있다는 증거는 어디에도 없다. “다만 노르텔이 2009년 1월 도산 신청을 하기까지 기우는 시간 동안, 화웨이가 세계 무대에서 급격하게 성장해갔다는 건 사실입니다.” 쉴즈의 의심이 사실이라면, 중국의 3R 경제 성장 원칙에 이만큼 부합하는 사례도 드물 정도로 시나리오가 딱딱 떨어진다.
중국 사이버전의 특징들
그러므로 중국이 지금 벌이고 있는 건 ‘경제 전쟁’이다. 다만 그것이 사이버전 형태로 대부분 드러나고 있는 것이다. 서양의 국가들은 자신들이 규정해놓은 ‘사이버전 행위’에 부합한 공격이 발견될 경우 반드시 보복하겠다고 선언하고 있는데, 중국은 이를 교묘하게 피해가고 있다. 게다가 러시아와 북한이 시끌벅적한 사이버전을 수행하고 있어 사람들의 눈이 그리로 쏠리고 있다는 것도 중국의 은밀한 사이버전을 돕는다.
또 중국 내에서 벌어지는 모든 일들은 중국 정부의 통제 하에서 발생한다는 것도 기억해야 한다. 중국 사이버전의 본질이 ‘경제 전쟁’이고 ‘중국 정부가 주도한다’는 건 여기저기서 발생하는 사이버 공격이 별개의 것이 아니라 사실은 하나의 거대한 캠페인에 속해있다는 뜻이 된다. 중국은 이미 그 자체로 하나의 거대한 기업이나 다름없다. 이 기업의 공격을 막기 위해서는 이 기업의 장기적인 목표와 방향성, 전략과 전력을 이해해야 한다. 이는 크게 법, 사이버 작전의 효과, 사이버 작전의 표적과 이유로 구분해 접근할 수 있다.
법적 배경
보안 업체 버스프라이트(Versprite)의 지정학 전문 팀은 외신과의 인터뷰에서 중국 사이버전의 법적 특징에 대해 다음과 같이 설명했다. “중국의 사이버 활동은 몇 가지 법적 장치로 보장과 통제를 동시에 받습니다. 2015년에 마련된 국가보안법이 큰 틀에서의 전략과 방향을 마련하고 있고, 2017년의 국가첩보법은 국가안보부와 공공안보부 산하 내부보안사무국이라는 두 개의 비밀경찰과 같은 조직에 힘을 실었습니다. 이 두 개의 법으로 큰 전략과 주력 도구가 완성된 것입니다.”
중국 해커의 해외 활동은 국가안전부(Ministry of State Security) 산하 중국정보기술평가센터(CNITSEC)에서 대부분 관리한다. 버스프라이트에 의하면 “APT3라는 유명 해킹 그룹은 CNITSEC의 일부로, 해외 기관들과 기구들을 표적으로 공격을 실시하고 얻어낸 정보를 국가안전부로 넘기는 역할을 하고 있다”고 한다. “그러면 국가안전부는 이런 정보를 바탕으로 더 광범위하고 장기적인 전략을 만들어내죠.”
국가안전부의 역할은 이것만이 아니다. 인민해방군이라는 중국군도 국가안전부가 통제한다. 이런 중국의 조직적인 사이버전 구조에 대해 처음 발표해 미국의 경각심을 일깨우기 시작한 건 2013년 보안 업체 맨디언트(Mandiant)다. APT1이라는 해킹 단체에 대해 알리며, 중국 사이버전의 단면을 공개한 것이다. 당시 맨디언트의 보고서는 ‘망상’이라거나 ‘허황되다’라는 비꼼과 비판을 받았는데, 지금은 아무도 그 보고서를 의심하지 않는다. 중국의 사이버전 행위라는 걸 인정한 게 불과 얼마 전의 일이라는 것이다.
중국의 사이버전 능력
2012년 보안 업체 트렌드 마이크로(Trend Micro)는 ‘표트르 1세 대왕 vs. 손무’라는 제목의 칼럼을 발표했다. 내용 중에 ‘러시아 vs. 중국’을 노골적으로 표현한 부분은 없지만, 누가 읽어도 ‘러시아 해커들이 중국의 해커들보다 실력이 뛰어나다’는 느낌을 받을 수 있었다. 이 때문인지 한 동안 중국 해커들이 욕심은 많지만 실력은 그리 대단하지 않다는 선입견이 보안 업계 내에서 팽배했다. 지금은 어떨까?
버스프라이트는 “애초에 러시아와 중국 해커들의 고급 기술의 차이를 비교한다는 게 그리 의미 있는 일은 아니”라고 지적한다. “고급 기술이 사이버전에 있어서 반드시 필요한 것이라고 말할 수 없거든요. 러시아가 페이스북과 트위터를 통해 펼친 가짜뉴스 공격을 보세요. 고급 해킹 기술과는 거리가 멀지만 원하는 바를 얻어낼 수는 있었습니다. 국가 지원 해커들이 뛰어난 실력을 가진 건 보편적으로 맞는 말이지만, 사이버전의 성공 여부를 판가름하는 데 있어 고급 실력이 필수적인 요소는 아닙니다.”
중요한 건 공격을 성공시키는 것이고, 필요한 건 그만큼의 실력이라는 게 버스프라이트의 설명이다. “현재 중국이라는 거대한 기업은 각종 사이버 능력이라는 측면에서 미국을 따라잡고 싶어합니다. 즉, 자신들이 부족한 부분을 파악하고 그 격차를 메워내는 데에 투자하고 있다는 것이죠.” 보안 업체 레코디드 퓨처(Recorded Future)의 전략 전문가인 프리실라 무리우치(Priscilla Mouriuchi)는 “실력이라는 측면에서 간단하게 설명하자면, 지난 몇 년 동안 중국 해커들이 급격하게 향상됐다고 정리할 수 있다”고 설명한다.
중국의 급성장은 어떻게 이뤄진 것일까? 무리우치는 “필요할 때마다 민간 해커들을 고용해가며 배울 것을 배우고, 해야 할 일은 해냈다”고 설명한다. “APT3나 APT10과 같은 경우 중국 정부 기관과 계약을 맺고 있는 민간 단체인 것으로 파악됩니다.” 오바마와 시진핑 사이에 있었던 ‘사이버전 행위 금지 조약’이 중국의 실력을 크게 키우는 데 일조했다는 분석도 있다. 보안 업체 트루스타(TruSTAR)의 CEO인 폴 커츠(Paul Kurtz)는 “오바마 행정부가 중국의 사이버 공격 행위를 인정하기 전까지 중국의 공격은 시끄럽고 눈에도 잘 띄었습니다. 그래서 오바마 당시 미국과 중국이 공격하지 말자고 협약을 맺은 것이죠. 그 협약 때문에 중국 해커들은 ‘아, 우리가 잘 들키는구나’를 깨달은 듯 합니다. 그 후로 중국 공격은 조용해졌습니다.”
중국의 표적
중국이 경제 전쟁을 사이버 공간에서 실시하는 이유 중 가장 큰 건 미국의 물리력이다. 아직 중국은 미국을 자극하고 싶지 않다. 그래서 중국은 기업들의 각종 기술과 더불어 국방 기술도 탐내기 시작했다. 기업들과 달리 국가의 군 관련 정보를 훔친다는 건 고도로 다듬어진 실력이 필요하다는 이야기다. 또한 절대로 은밀해야 하며, 파괴적인 행위는 일절 없어야 한다. 중국이 미군을 건드리기 시작하는 걸 들킨다면 미국이 군대를 일으킬 테니까 말이다. 은밀하기 위해 중국은 표적 공격을 주로 실시하는데, 이들의 표적은 다음 세 가지로 분류가 가능하다.
1) 사람 : 보안에서 가장 약한 고리를 언급할 때 십중팔구 ‘사람’이 꼽힌다. 또한 이 사람에게 가장 치명적인 정보가 있는 것도 사실이다. 다른 무엇보다 중요 네트워크나 데이터에 접근할 수 있게 해주는 크리덴셜이 사람이 보유하고 있는 치명적 정보다. 약한 사람을 공략해 치명적 정보를 얻어낼 수 있는데, 사람을 공격하지 않는다는 건 어리석은 짓이다. 게다가 그 사람들은 SNS 등을 통해 각종 정보를 흘리고 다니기 때문에 고급 피싱 공격에 속기 십상이다.
그래서 주식회사 중국의 해커들은 사람을 자주 공격한다. 특히 고위 관리직에 있는 주요 인물들에 대한 접근이 빈번하다. 한 번만 성공하면 은밀한 해킹 공격의 기회가 잔뜩 열린다. 그 유명한 OPM 해킹 사건을 중국이 벌인 것도 이러한 이유다.
2) 군 : 국방 관련 기술과 기밀도 중국이 자주 노리는 표적이다. 2013년 보안 업체 시만텍(Symantec)는 쓰립(Thrip)이라는 공격 단체가 벌이는 스파이 캠페인을 발견해 추적해왔다. 그리고 2018년 6월 이 그룹에 대한 보고서를 발표했다. 시만텍의 CEO인 그렉 클라크(Greg Clark)는 “쓰립은 2013년부터 활동해 온 정찰 단체로, 표준 OS 툴들을 사용해 자신들이 원하는 바를 이뤄낸다”고 설명했다. 정상 도구를 사용하기 때문에 피해자의 눈에 띄지 않는다. “쓰립이 주력으로 노리는 건 통신사, 위성 기술 업체, 국방 기업입니다.”
또한 2018년 6월에는 중국 정부가 고용한 해커들이 미국 해군 계약업체로부터 614GB의 데이터를 훔쳤다는 보도가 있기도 했다. 여기에는 새로운 무기 개발과 관련된 일급기밀 문서도 포함되어 있었다. 그 전인 3월에는 영국 정부와 관련된 조직이 중국 APT15의 표적이 되고 있다는 보도도 나왔다. 역시 군 관련 기술과 기밀을 노린 공격이었다.
2017년 4월에는 대규모 클라우드 호퍼(Cloud Hopper) 공격을 중국 해커들이 실시하기도 했다. APT10이 범인이며, 여러 곳의 관리 서비스 제공자(MSP)가 표적이었다. 최소 14개 국가에서 이 공격의 흔적이 발견됐는데, 중국 해커가 노린 건 MSP 자체가 아니라 그 고객들인 것으로 파악됐다. 2018년 12월 20일, 미국 사법부는 두 명의 중국인을 APT10의 요원이라며 기소했다.
3) 사회 기반 시설 : 사실 ‘장기적 계획’을 가지고 ‘경제 전쟁’을 벌이는 중국 입장에서 미국의 기반 시설을 공격한다는 건 적잖이 위험한 일이다. 눈에 잘 띄고, 미국을 자극시키기 좋으며, 경제적인 측면에서 얻을 것도 그리 많지 않기 때문이다. 하지만 중국이 이 부분을 그냥 방치하고 있다는 것 역시 순진한 생각이다. 커츠는 “중국은 최소한 미국 사회 기반 시설의 전체적인 지형도를 파악하는 노력은 기울이고 있을 것”이라고 예상한다. 여차하면 충분히 파괴적인 공격을 실시할 수 있도록 대비를 해놓는 것이 그 목적이라고 볼 수 있다.
무리우치는 “미국 국토안보부는 이전에 사회 기반 시설로 1) 통신, 2) IT, 3) 의료건강, 4) 국방, 5) 농업을 꼽았다”며 “이 분야들에는 이미 다양한 공격들이 등장한 바 있다”고 설명한다. “공격의 대부분은 정찰과 정보 수집입니다. 보통 정보 수집과 스파잉이라고 하면 ‘경제적인 목적’을 전제로 하는데, 중국 사이버전 행위는 그 범위를 넘습니다. 현재는 사회 기반 시설에 대한 정보들도 차곡차곡 쌓아가고 있거든요. 아직 이렇다할 피해가 직접 나타나지는 않았습니다만, 뭔가 준비 중에 있다는 건 알 수 있죠.”
요약
현재 서방 세계는 사이버전의 가장 큰 적으로 러시아를 염려하고 있다. 하지만 중국의 사이버전이 이미 시작되었다는 건 간과하고 있다. 왜냐하면 서양이 규정하는 사이버전과 중국의 사이버전이 다르기 때문이다. 중국은 느리고 조용한 공격을 통해 논란과 감시를 벗어나 자기들이 하고 싶은 일들을 하고 있다. 서양이 러시아를 주적으로 두고 사이버전 이야기를 할 때 혼자 웃으며 실익을 챙기고 있다. ‘아직 중국 해커는 실력이 부족하고 러시아는 뛰어나’라고 얘기할 때도 중국은 뒤에서 계획한 것들을 이뤄내고 있다. 지금 무역전쟁에서 미국이 우위에 있는 것처럼 보이지만, 이런 식으로 일이 계속해서 진행된다면 중국이 G1의 칭호를 얻어가는 것도 그리 먼 이야기가 아닐 수 있다.
무리우치는 “한 때 ‘메이드 인 차이나’는 조롱의 대상이었던 적이 있었는데, ‘중국 해커’에 대한 인식 역시 그 수준에 머물러 있다”고 꼬집는다. “보안 전문가, IT 전문가, 네트워크 방어 전문가 모두 이 인식을 탈피해야 합니다. 중국은 조용하고 은밀해서 그렇지 뛰어나고 지독하며, 한 가지 방향성과 지휘 아래 조직적으로 움직이고 있습니다. 이전과 다른 사이버전 행위를 통해 현대의 혼란스러운 상황을 피해가고 있기도 하고요. 사이버전의 규정을 다시 한 번 세계가 논의해야 할 때가 아닐까 합니다.”
3줄 요약
1. 전통적으로 서양의 가장 큰 적은 러시아. 사이버전을 논의할 때도 마찬가지.
2. 서양이 러시아에 집중하는 동안 실력을 쌓아가고 있는 건, 경제 대국으로 가고자 하는 중국.
3. 중국은 한 가지 목적과 지휘 아래 조직적으로 통솔되는 거대 기업과 마찬가지. 간과하면 세계 경제 주도권 쥘 수도 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
