제7조 “모든 중국 시민과 기업은 국가 정보 활동에 협력할 의무” 적시
중국 스파이, 민간인과 첩보원의 경계 모호...“정부 배후 의심해야” 지적도
중국 보안업체 아이순 7년간 43개 중국 정부 기관에 해킹 서비스 제공
[보안뉴스 성기노 기자] SK텔레콤 해킹 사태의 전모는 여전히 오리무중이다. 그런데 업계 일각에서는 중국계 APT(지능형지속위협) 해커조직인 ‘어스블루크로(레드멘션)’를 유력한 배후로 보고 있다.
안랩은 최근 보고서를 통해 “어스블루크로가 한국 통신사 해킹 사건의 배후일 가능성을 조사하고 있다”며 그 근거로 이번 해킹에 사용된 ‘BPF도어’ 악성코드가 중국 APT 그룹의 전형적 수법으로 알려져 있다는 점을 들었다. 미국 사이버보안업체 트렌드마이크로도 “BPF도어는 사이버 스파이 활동을 위한 국가 후원형 백도어”라며 “2023년 7월과 12월, 한국 통신사를 두 차례 공격했다”고 설명한 바 있다.
[이미지=gettyimagesbank]
SK텔레콤 해킹 사태에 여전히 중국을 둘러싼 암흑의 그림자가 어른거리고 있는 것이다. 이번 사태가 꼭 중국 정부가 직접 연루되었거나 중국인의 소행이라고 밝혀지지 않더라도 국제 보안업계에서는 진작부터 중국의 ‘광범위한 스파이 활동’에 대한 우려와 감시의 움직임을 보여 왔다.
해커를 비롯한 중국의 각종 ‘스파이’들은 사실 미국 영국 등의 서방국가들과 그 활동 특징이나 육성 방법 등에서 명백한 차이를 보인다. 그리고 이러한 차이점이 중국의 불법적인 기술 탈취를 용이하게 하고, 특히 해킹을 통해 ‘가상의 적국’을 혼란에 빠뜨리는 등의 ‘보안 교란 행위’를 서슴지 않게 하는 동력이 되고 있다.
전문가들이 지적하는 중국 스파이 활동의 특징은 일반인과 전문 ‘첩보원’의 경계가 상당히 모호하다는 것이다. 예를 들어 학생, 사업가, 기술자 등 합법적인 신분으로 활동하며 장기적으로 정보를 수집하는데 그 자료의 최종 ‘입력지’가 중국 ‘정부’라는 점이 특징이다.
중국은 미국이나 영국의 전통적인 스파이(정보기관 소속 공작원)와 달리 민간인을 적극 활용하거나 민간 기업을 동원하는 방식이 두드러진 게 여타 국가와의 차별점이다. 중국은 국가안전부(MSS), 인민해방군(PLA), 공안부 같은 기관뿐 아니라 민간 기업(화웨이, 아이순)이나 개인 해커를 활용해 첩보 활동을 벌이는 것으로 유명하다. 이는 국가 지원 해킹 그룹(APT41, 솔트 타이푼)과 연계되어 사이버 스파이 활동이 첩보의 핵심 수단으로 사용된다.
중국 스파이의 또 하나의 특징은 그들은 정보를 습득할 때 그것을 ‘훔치는’ 것이 아니라 기밀을 내어 주도록 ‘유도’하는 방식을 선호한다. 그것을 완성하기 위해 중국 정보기관은 공식적인 모집을 일체 하지 않은 채 목표물을 설득하여 유용한 정보를 얻어낼 적절한 때가 올 때까지 기꺼이 여러 해를 기다린다.
[이미지=gettyimagesbank]
이러한 견해에 따르면, 심지어 목표물은 자신이 ‘개발되고’ 있는 상태라는 것을 모를 수도 있다. 중국 정보기관은 ‘협력자’와 ‘첩보원’ 사이에 서 있는 다소 모호한 방식을 선호한다(‘중국 산업스파이:기술 획득과 국방 현대화’ Hannas 외 2인 지음, 송봉규 옮김 2019).
이렇듯 중국 스파이의 특징은 민간과 기관의 영역, 협력자와 첩보원의 영역이 모호하다는 점도 있지만 그런 스파이들을 육성하는 방식도 서방국가들과 차이가 있다. 미국이나 영국 스파이는 주로 CIA, MI6 같은 전문 정보기관에서 엄격한 훈련을 받고 외교관(화이트 요원)이나 비밀 공작원(블랙 요원)으로 활동한다. 이들은 명확한 계급 구조와 임무를 가지며 신분 위장이 철저하지만 일반인과 완전히 분리된 ‘기관원’으로 운영된다.
하지만 중국은 민간인을 적극적으로 포섭하거나 ‘애국 해킹’ 문화를 장려해 해커나 민간인을 첩보 활동의 ‘국가 도우미’로 활용한다. 예를 들어 아이순 같은 민간 보안업체가 공안부나 MSS의 지시로 해킹을 수행하며 대학생이나 기술자를 스파이로 육성하기도 하는 것으로 알려진다. 이들은 정식 정보기관 요원보다 느슨한 구조 속에서 활동하며 그에 따른 금전적 보상이나 사회적 지위를 보장받는다.
중국은 학생, 교수, 기업인 등을 가리지 않고 그들을 처음부터 교육하고 육성하는 것이 아니라 이미 상당한 ‘보안 기술력’을 가진 전문가들이나 애국심이 높고 열정적인 사람들을 손쉽게 ‘고용’할 수 있는 시스템을 가지고 있다. 그 시스템이 바로 ‘법률’이다.
일반인과 첩보원의 경계가 모호한 게 중국 스파이의 특징인데 그 근거는 바로 중국 국가정보법에서 나온다. 중국 국가정보법(国家情报法, National Intelligence Law)은 2017년 6월 27일 제12차 전국인민대표대회 상무위원회에서 통과되어 2018년 개정된 법률로서, 중국의 정보 및 첩보 활동을 규정하는 핵심 법안이다.
국제사회는 이 법을 중국 스파이 활동에서 일반인과 첩보원의 경계를 모호하게 만드는 주요 근거로 지목한다. 일반인이 국가의 ‘스파이 활동’에 동원될 근거는 중국 국가정보법 제7조에 있다. 여기에는 “모든 조직과 시민은 법에 따라 국가 정보 업무를 지원하고 협력하며, 국가 정보 업무와 관련된 비밀을 지켜야 한다”라고 명시돼 있다.
‘모든’ 중국 시민과 기업이 국가의 정보 활동에 협력할 의무를 적시하고 있는 것이다. 즉 개인이나 민간 기업이 정부의 첩보 활동에 동원될 수 있는 법적 근거를 제공하고 있다는 것은 권위주의 중국에서만 가능한 법률이다. 민주주의 국가에서 이런 법률을 만들었다가는 국가가 개인의 자유를 침해하고 개인을 국가의 활동에 강제로 이용하는, 심대한 인권 침해라며 엄두도 낼 수 없는 법률이다.
▲2024년 4월 16일 시진핑 중국 국가주석과 올라프 숄츠 독일 총리가 중국 국빈관에서 정상회담 전 기념 촬영을 하고 있다. [자료:연합]
또한 중국 국가정보법 제10조는 “국가 정보기관은 법에 따라 필요한 정보, 자료, 기술 지원을 요구할 수 있다”라고 돼 있다. 정부가 개인, 기업, 기관에 정보 제공이나 기술 지원을 강제할 수 있는 것이다.
그리고 제14조에는 “국가 정보기관은 관련 기관, 조직, 시민과 협력해 정보 수집을 수행할 수 있다”라고 명시돼 있다. 바로 이 조항이 민간인을 첩보 활동에 직접 또는 간접적으로 동원할 수 있는 ‘법적 근거’에 해당한다. 이 법은 중국 내 모든 개인, 기업(국영 및 민간), 단체에 적용되며 해외에 있는 중국 시민이나 기업도 포함된다.
중국은 이렇게 국가정보법이라는 국가의 강제력으로 일반인과 첩보원을 가리지 않고 보안 스파이 활동에 동원하는 총력 체제를 갖추고 있다. 이는 민간과 국가의 구분을 엄격하게 설정해 놓은 미국 영국 한국과 같은 민주주의 국가에서는 있을 수 없는 일이다.
물론 한국에는 국가정보법과 유사한 단일 법률은 없지만 국가 안보와 정보 수집을 위해 민간 협력을 요구할 수 있는 법률과 제도가 국정원법, 통신비밀보호법, 국가사이버안보법 등으로 존재하기는 한다.
하지만 결정적인 차이가 있다. 중국은 모든 시민과 기업에 정보기관 협력을 법적 의무로 부과하지만 한국은 협력을 요청하더라도 사법 절차(영장)나 자발적 동의만을 요구한다. 개인이 자발적 동의를 거부하면 그 인적 자원을 강제로 ‘징발’할 수 없는 것이 한국과 중국의 차이점이다.
법적으로도 중국의 ‘국가 안보’는 모호하고 포괄적이어서 정부의 자의적 해석이 가능하지만 한국은 헌법과 개인정보 보호법에 따라 정보 수집의 범위가 제한된다. 또한 한국은 민주적 감시 체계(국회 정보위원회, 감사원)와 언론을 통해 국정원 활동을 견제하며 민간인이 동원된 의혹이 있다면 공개적으로 그 법적인 문제를 다룬다. 하지만 중국은 정보 활동 자체가 불투명하고 시민이 국가의 ‘요구’를 받았을 때 그것에 저항하는 것이 거의 불가능한 구조다.
▲중국 국경절 행사 [자료:연합]
이런 상황에서 지난 9일 중국 보안업체가 한국의 이동통신사와 외교부까지 해킹했다는 의혹이 나왔다. 이것이 단순한 기업의 해킹 사건인지, 아니면 중국의 전통적인 ‘민관 합동 스파이 활동’의 일환인지 반드시 한국 정부도 그 의혹을 규명할 필요가 있다.
미 법무부와 보안업계에 따르면 중국 보안업체 아이순(i-Soon)은 2023년까지 7년간 43개 중국 정부 기관에 해킹 서비스를 제공한 혐의로 지난 3월 미국에서 기소됐다. 문제는 그 해킹 표적에 LG유플러스와 외교부가 포함된 정황이 뒤늦게 드러났다는 점이다.
이렇게 중국의 민간 보안업계가 한국의 주요 이동통신사나 외교부 등의 국가기관까지 해킹을 하면서 그 ‘배후’가 과연 누구인지 반드시 규명돼야 할 필요가 있다. 또한 중국인이 우리 군기지, 공항·항만, 국정원, 정부청사 등 국가 중요시설을 무단으로 촬영한 사건이 지난해 6월부터 11개월 동안 11건이나 발생했다. 이 11건의 ‘스파이 활동’이 과연 배후 없이 개인의 호기심 차원에서 이뤄졌는지도 의문이다.
민간인과 첩보원의 경계가 없이 전방위로 전개되는 중국 특유의 ‘민관 합동’ 보안 활동이 SK텔레콤의 대규모 해킹 사태와 연결된 지점은 현재로서는 발견되지 않는다. 하지만 SK텔레콤 해킹 사태(2022년부터 BPF도어 악성코드로 통화 기록 수집)에서 아이순 같은 민간 보안업체가 중국 정부의 지시로 활동했을 가능성에 대해서도 철저한 조사가 이뤄져야 한다.
중국의 국가정보법은 아이순 직원(겉으로는 민간 해커)이 정부의 첩보 활동에 동원될 수 있는 법적 근거를 제공하기 때문이다. 이웃나라 중국의 첩보 전술과 스파이의 특징을 제대로 아는 것은, 한국이 국제 사이버 전쟁에서 자국의 안전과 기업의 이익을 지켜내는 첫 번째 방패다.
[성기노 기자(kino@boannews.com)]
중국 스파이, 민간인과 첩보원의 경계 모호...“정부 배후 의심해야” 지적도
중국 보안업체 아이순 7년간 43개 중국 정부 기관에 해킹 서비스 제공
[보안뉴스 성기노 기자] SK텔레콤 해킹 사태의 전모는 여전히 오리무중이다. 그런데 업계 일각에서는 중국계 APT(지능형지속위협) 해커조직인 ‘어스블루크로(레드멘션)’를 유력한 배후로 보고 있다.
안랩은 최근 보고서를 통해 “어스블루크로가 한국 통신사 해킹 사건의 배후일 가능성을 조사하고 있다”며 그 근거로 이번 해킹에 사용된 ‘BPF도어’ 악성코드가 중국 APT 그룹의 전형적 수법으로 알려져 있다는 점을 들었다. 미국 사이버보안업체 트렌드마이크로도 “BPF도어는 사이버 스파이 활동을 위한 국가 후원형 백도어”라며 “2023년 7월과 12월, 한국 통신사를 두 차례 공격했다”고 설명한 바 있다.
[이미지=gettyimagesbank]
SK텔레콤 해킹 사태에 여전히 중국을 둘러싼 암흑의 그림자가 어른거리고 있는 것이다. 이번 사태가 꼭 중국 정부가 직접 연루되었거나 중국인의 소행이라고 밝혀지지 않더라도 국제 보안업계에서는 진작부터 중국의 ‘광범위한 스파이 활동’에 대한 우려와 감시의 움직임을 보여 왔다.
해커를 비롯한 중국의 각종 ‘스파이’들은 사실 미국 영국 등의 서방국가들과 그 활동 특징이나 육성 방법 등에서 명백한 차이를 보인다. 그리고 이러한 차이점이 중국의 불법적인 기술 탈취를 용이하게 하고, 특히 해킹을 통해 ‘가상의 적국’을 혼란에 빠뜨리는 등의 ‘보안 교란 행위’를 서슴지 않게 하는 동력이 되고 있다.
전문가들이 지적하는 중국 스파이 활동의 특징은 일반인과 전문 ‘첩보원’의 경계가 상당히 모호하다는 것이다. 예를 들어 학생, 사업가, 기술자 등 합법적인 신분으로 활동하며 장기적으로 정보를 수집하는데 그 자료의 최종 ‘입력지’가 중국 ‘정부’라는 점이 특징이다.
중국은 미국이나 영국의 전통적인 스파이(정보기관 소속 공작원)와 달리 민간인을 적극 활용하거나 민간 기업을 동원하는 방식이 두드러진 게 여타 국가와의 차별점이다. 중국은 국가안전부(MSS), 인민해방군(PLA), 공안부 같은 기관뿐 아니라 민간 기업(화웨이, 아이순)이나 개인 해커를 활용해 첩보 활동을 벌이는 것으로 유명하다. 이는 국가 지원 해킹 그룹(APT41, 솔트 타이푼)과 연계되어 사이버 스파이 활동이 첩보의 핵심 수단으로 사용된다.
중국 스파이의 또 하나의 특징은 그들은 정보를 습득할 때 그것을 ‘훔치는’ 것이 아니라 기밀을 내어 주도록 ‘유도’하는 방식을 선호한다. 그것을 완성하기 위해 중국 정보기관은 공식적인 모집을 일체 하지 않은 채 목표물을 설득하여 유용한 정보를 얻어낼 적절한 때가 올 때까지 기꺼이 여러 해를 기다린다.
[이미지=gettyimagesbank]
이러한 견해에 따르면, 심지어 목표물은 자신이 ‘개발되고’ 있는 상태라는 것을 모를 수도 있다. 중국 정보기관은 ‘협력자’와 ‘첩보원’ 사이에 서 있는 다소 모호한 방식을 선호한다(‘중국 산업스파이:기술 획득과 국방 현대화’ Hannas 외 2인 지음, 송봉규 옮김 2019).
이렇듯 중국 스파이의 특징은 민간과 기관의 영역, 협력자와 첩보원의 영역이 모호하다는 점도 있지만 그런 스파이들을 육성하는 방식도 서방국가들과 차이가 있다. 미국이나 영국 스파이는 주로 CIA, MI6 같은 전문 정보기관에서 엄격한 훈련을 받고 외교관(화이트 요원)이나 비밀 공작원(블랙 요원)으로 활동한다. 이들은 명확한 계급 구조와 임무를 가지며 신분 위장이 철저하지만 일반인과 완전히 분리된 ‘기관원’으로 운영된다.
하지만 중국은 민간인을 적극적으로 포섭하거나 ‘애국 해킹’ 문화를 장려해 해커나 민간인을 첩보 활동의 ‘국가 도우미’로 활용한다. 예를 들어 아이순 같은 민간 보안업체가 공안부나 MSS의 지시로 해킹을 수행하며 대학생이나 기술자를 스파이로 육성하기도 하는 것으로 알려진다. 이들은 정식 정보기관 요원보다 느슨한 구조 속에서 활동하며 그에 따른 금전적 보상이나 사회적 지위를 보장받는다.
중국은 학생, 교수, 기업인 등을 가리지 않고 그들을 처음부터 교육하고 육성하는 것이 아니라 이미 상당한 ‘보안 기술력’을 가진 전문가들이나 애국심이 높고 열정적인 사람들을 손쉽게 ‘고용’할 수 있는 시스템을 가지고 있다. 그 시스템이 바로 ‘법률’이다.
일반인과 첩보원의 경계가 모호한 게 중국 스파이의 특징인데 그 근거는 바로 중국 국가정보법에서 나온다. 중국 국가정보법(国家情报法, National Intelligence Law)은 2017년 6월 27일 제12차 전국인민대표대회 상무위원회에서 통과되어 2018년 개정된 법률로서, 중국의 정보 및 첩보 활동을 규정하는 핵심 법안이다.
국제사회는 이 법을 중국 스파이 활동에서 일반인과 첩보원의 경계를 모호하게 만드는 주요 근거로 지목한다. 일반인이 국가의 ‘스파이 활동’에 동원될 근거는 중국 국가정보법 제7조에 있다. 여기에는 “모든 조직과 시민은 법에 따라 국가 정보 업무를 지원하고 협력하며, 국가 정보 업무와 관련된 비밀을 지켜야 한다”라고 명시돼 있다.
‘모든’ 중국 시민과 기업이 국가의 정보 활동에 협력할 의무를 적시하고 있는 것이다. 즉 개인이나 민간 기업이 정부의 첩보 활동에 동원될 수 있는 법적 근거를 제공하고 있다는 것은 권위주의 중국에서만 가능한 법률이다. 민주주의 국가에서 이런 법률을 만들었다가는 국가가 개인의 자유를 침해하고 개인을 국가의 활동에 강제로 이용하는, 심대한 인권 침해라며 엄두도 낼 수 없는 법률이다.
▲2024년 4월 16일 시진핑 중국 국가주석과 올라프 숄츠 독일 총리가 중국 국빈관에서 정상회담 전 기념 촬영을 하고 있다. [자료:연합]
또한 중국 국가정보법 제10조는 “국가 정보기관은 법에 따라 필요한 정보, 자료, 기술 지원을 요구할 수 있다”라고 돼 있다. 정부가 개인, 기업, 기관에 정보 제공이나 기술 지원을 강제할 수 있는 것이다.
그리고 제14조에는 “국가 정보기관은 관련 기관, 조직, 시민과 협력해 정보 수집을 수행할 수 있다”라고 명시돼 있다. 바로 이 조항이 민간인을 첩보 활동에 직접 또는 간접적으로 동원할 수 있는 ‘법적 근거’에 해당한다. 이 법은 중국 내 모든 개인, 기업(국영 및 민간), 단체에 적용되며 해외에 있는 중국 시민이나 기업도 포함된다.
중국은 이렇게 국가정보법이라는 국가의 강제력으로 일반인과 첩보원을 가리지 않고 보안 스파이 활동에 동원하는 총력 체제를 갖추고 있다. 이는 민간과 국가의 구분을 엄격하게 설정해 놓은 미국 영국 한국과 같은 민주주의 국가에서는 있을 수 없는 일이다.
물론 한국에는 국가정보법과 유사한 단일 법률은 없지만 국가 안보와 정보 수집을 위해 민간 협력을 요구할 수 있는 법률과 제도가 국정원법, 통신비밀보호법, 국가사이버안보법 등으로 존재하기는 한다.
하지만 결정적인 차이가 있다. 중국은 모든 시민과 기업에 정보기관 협력을 법적 의무로 부과하지만 한국은 협력을 요청하더라도 사법 절차(영장)나 자발적 동의만을 요구한다. 개인이 자발적 동의를 거부하면 그 인적 자원을 강제로 ‘징발’할 수 없는 것이 한국과 중국의 차이점이다.
법적으로도 중국의 ‘국가 안보’는 모호하고 포괄적이어서 정부의 자의적 해석이 가능하지만 한국은 헌법과 개인정보 보호법에 따라 정보 수집의 범위가 제한된다. 또한 한국은 민주적 감시 체계(국회 정보위원회, 감사원)와 언론을 통해 국정원 활동을 견제하며 민간인이 동원된 의혹이 있다면 공개적으로 그 법적인 문제를 다룬다. 하지만 중국은 정보 활동 자체가 불투명하고 시민이 국가의 ‘요구’를 받았을 때 그것에 저항하는 것이 거의 불가능한 구조다.
▲중국 국경절 행사 [자료:연합]
이런 상황에서 지난 9일 중국 보안업체가 한국의 이동통신사와 외교부까지 해킹했다는 의혹이 나왔다. 이것이 단순한 기업의 해킹 사건인지, 아니면 중국의 전통적인 ‘민관 합동 스파이 활동’의 일환인지 반드시 한국 정부도 그 의혹을 규명할 필요가 있다.
미 법무부와 보안업계에 따르면 중국 보안업체 아이순(i-Soon)은 2023년까지 7년간 43개 중국 정부 기관에 해킹 서비스를 제공한 혐의로 지난 3월 미국에서 기소됐다. 문제는 그 해킹 표적에 LG유플러스와 외교부가 포함된 정황이 뒤늦게 드러났다는 점이다.
이렇게 중국의 민간 보안업계가 한국의 주요 이동통신사나 외교부 등의 국가기관까지 해킹을 하면서 그 ‘배후’가 과연 누구인지 반드시 규명돼야 할 필요가 있다. 또한 중국인이 우리 군기지, 공항·항만, 국정원, 정부청사 등 국가 중요시설을 무단으로 촬영한 사건이 지난해 6월부터 11개월 동안 11건이나 발생했다. 이 11건의 ‘스파이 활동’이 과연 배후 없이 개인의 호기심 차원에서 이뤄졌는지도 의문이다.
민간인과 첩보원의 경계가 없이 전방위로 전개되는 중국 특유의 ‘민관 합동’ 보안 활동이 SK텔레콤의 대규모 해킹 사태와 연결된 지점은 현재로서는 발견되지 않는다. 하지만 SK텔레콤 해킹 사태(2022년부터 BPF도어 악성코드로 통화 기록 수집)에서 아이순 같은 민간 보안업체가 중국 정부의 지시로 활동했을 가능성에 대해서도 철저한 조사가 이뤄져야 한다.
중국의 국가정보법은 아이순 직원(겉으로는 민간 해커)이 정부의 첩보 활동에 동원될 수 있는 법적 근거를 제공하기 때문이다. 이웃나라 중국의 첩보 전술과 스파이의 특징을 제대로 아는 것은, 한국이 국제 사이버 전쟁에서 자국의 안전과 기업의 이익을 지켜내는 첫 번째 방패다.
[성기노 기자(kino@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
