2022년 5월, 조 바이든 미국 대통령이 목표 달성을 위해 우호적인 태도를 보였다. 당시 바이든 대통령은 백악관에 동남아시아 국가연합(ASEAN, 이하 아세안) 10개국 지도자를 최초로 초청했다. 인구 6억 명이 넘는 동남아시아 여러 국가에는 지도자의 백악관 국빈 방문은 처음 있는 일이었다. 바이든 대통령과 아세안 10개국 정상은 동남아시아 모든 국가의 핵심 무역 협력국이면서도 안정성을 위협할 수 있는 존재인 중국과 관련된 안건을 주로 논의했다. 바이든 대통령은 아세안 10개국에 국가 안보와 인프라, 현재 진행 중인 코로나19 대응을 돕기 위해 1억 5,000만 달러 추가 지원을 약속했다.
그러나 와이어드가 입수한 사이버 보안 경고 사항을 분석한 결과, 회담 이후 몇 주간 중국 정부 대신 활동을 개시하는 해커 조직이 동남아시아 여러 국가를 대상으로 이메일 수천 개와 민감 정보를 탈취한 사실을 확인했다. 과거 보도된 적이 없는 중국의 동남아시아를 겨냥한 사이버 감시는 중국과 관련된 해커 조직이 이웃 국가의 보안을 심각한 수준으로 저하하면서 정치적, 경제적 정보를 손에 넣을 방안을 모색한 일련의 사이버 공격 사건 중 가장 최근 발생한 일이었다.
사이버 보안 경고에 따르면, 중국 해커 조직은 2022년 2월, 아세안이 운영하는 메일 서버에 침입하고는 다량의 데이터를 탈취했다. 아세안은 싱가포르와 말레이시아, 태국을 포함한 동남아시아 10개국으로 구성된 다국적 국가 연합이다. 사이버 보안 문건은 2019년 이후 아세안의 보안 침입은 2022년 2월까지 3차례 발생했다.
해커는 아세안 국가로 전송된 메일을 기가바이트 단위의 용량으로 탈취했다. 게다가 데이터를 매일 탈취한 것으로 드러났다. 해커 세력이 총 1만 개가 넘는 메일과 데이터 30GB 이상 탈취한 것으로 추정된다. 사이버 보안 경고는 “이번 공격으로 메일 보안 침입 때문에 아세안 회원국 모두 피해를 보았다”라고 설명했다. 모든 아세안 회원국 사이버 보안 기관과 외교부 등 여러 정부 기관에 사이버 공격 경고 알림을 전송했다.
말레이시아 과학기술혁신부 산하 기관인 사이버 시큐리티 말레이시아(CyberSecurity Malaysia) CEO 하지 아미루딘 압둘 와하브(Haji Amirudin Abdul Wahab)는 2022년, 보안 경고를 받고는 말레이시아 현지 정부 관료에게 알리면서 잔반적으로 해킹 공격을 비난했다고 밝혔다. 말레이시아 이외에도 보안 피해를 겪은 국가 모두 와이어드의 문의에 의견 공개를 거부하거나 어떠한 답변도 보내지 않았다. 아세안 측은 사이버 공격 관련 공식 입장을 발표하지 않았다.
주미 중국대사관도 와이어드의 문의에 답변하지 않았다.
[사진=Freepik]
목소리는 높이고, 탈취는 조용히
호주 국책연구소인 로위연구소(Lowy Institute)의 동남아시아 프로그램 국장 수잔나 패톤(Susannah Patton)은 “아세안은 동남아시아를 넘어 세계 다른 곳에도 중요한 핵심 국가 연합체이다”라고 말했다. 또, 아세안이 여러 지역에서 동남아시아 정책 협력을 돕는다고 언급했다. 패톤은 “아세안은 동남아시아 이외 지역에서도 여러 차례 동남아시아 지역의 대규모 회담을 주관한다는 점에서 매우 중요한 역할을 맡아왔다”라고 설명했다. 결국, 아세안이 보관한 데이터는 동남아시아 지역의 정치적 감정 이해에 유용한 정보가 될 수 있다.
인도네시아와 미얀마에서 미국 대사직을 지낸 스탠퍼드대학교 오크센버그 로렌 펠로(Oksenberg-Rohlen Fellow)인 스캇 마르시엘(Scot Marciel)은 아세안이 회원국 10개국의 의견을 널리 강조하는 역할을 한다고 언급했다. 아세안은 공식 회담과 비공식 대화 모두 진행하며, 경제 통합과 인프라 계획부터 무역 협상, 지정학적 문제까지 모든 사안을 논의한다. 마르시엘 전 대사는 “중국 정부가 아세안의 모든 논의 사항에 관심을 두고 있을 것으로 본다”라고 전했다.
와이어드가 입수한 사이버 보안 경고는 중국 해커 세력이 아세안 메일을 탈취하려 유효한 신원을 이용해 아세안과 연결된 메일 서버에 침입했다고 설명했다. 마이크로 익스체인지 서버는 mail.asean.org와 auto.discover.asean.org 도메인을 사용한다. 해당 문서는 해커 세력이 배후에서 악용한 마이크로소프트 익스체인지 서버의 취약점을 나열했다. 마이크로소프트는 2021년 3월, 처음으로 취약점과 함께 취약점 악용과 관련된 중국 해커 조직인 하프늄(Hafnium)의 정보를 상술한 보고서를 발행했다.
사이버 보안 경고는 아세안 회원국에 신원 초기화와 알 수 없는 위치에서 원격 이메일 수집 발생 사항 정기 점검, 취약점 방어 등을 권고했다. 과거에도 중국 해커 세력이 아세안을 상대로 보안 침입을 한 적이 있다는 점에도 주목했다. 2021년 7월, 섀도우패드(ShadowPad) 멀웨어가 아세안 보안을 침입할 목적으로 악용된 사례를 중국 해커의 아세안 공격 사례로 언급할 수 있다. 이 외에도 2019년 5월부터 10월까지 중국 해커 세력이 플러그X(PlugX) 멀웨어를 이용해 아세안 관련 문건 100건 이상 탈취한 사례도 있다.
미국 사이버 보안 기업 맨디언트(Mandiant) 사이버 감시 분석 국장 벤 리드(Ben Read)는 섀도우패드와 플러그X 모두 중국과 관련된 해커 조직이 이용한 원격 제어 툴이라고 설명했다. 섀도우패드와 플러그X 모두 백도어로 실행되며, 해커 세력이 파일 게재와 내려받기, 타인의 네트워크 이동 등과 같은 행동을 포함하여 타인의 기기를 제어하도록 한다. 리드는 “플러그X는 지난 10년간 중국 사이버 감시 작전 수단이 되었다”라고 말했다.
해킹 작전
중국은 동남아시아 모든 국가의 중요한 협력국이다. 중국은 동남아시아에 가장 큰 영향력을 행사하며, 중국과의 무역은 다수 동남아시아 국가에 중요한 일이다. 런던 SOAS대학교 중국 연구소 연구 펠로인 올리비아 청(Olivia Cheung)은 “중국은 동남아시아 여러 국가와 더 긴밀한 관계를 형성하고자 한다”라고 설명했다. 시진핑 주석은 아세안 회원국과 ‘공동운명체’ 형성을 여러 차례 이야기했다.
그러나 동남아시아와 중국의 관계가 동등해질 일은 없을 것이다. 중국은 지금까지 동남아시아 전역의 기반 시설에 거액을 투자하고, 신규 기반 시설을 건설하기도 했다. 중국의 동남아시아 투자는 자국의 정치, 경제 권력 부여에 도움이 되는 기반 시설 투자 계획인 일대일로 계획의 일부분이기도 하다. 결과적으로 남중국해 일대를 포함한 동남아시아 여러 이웃 국가와 갈등을 빚는 사례가 증가했다. 청은 “동남아시아 국가와의 긍정적 관계 강화 노력은 종종 모든 것을 감시하려는 중국 정부의 접근 방식을 상쇄하였다”라고 분석했다.
다수 사이버 보안 전문가는 중국의 정부 산하 해커 세력은 놀라울 정도로 동남아시아 지역에서 기승을 부린다고 전했다. 대만 사이버 보안 기업 팀T5(TeamT5) 사이버 위협 애널리스트인 처 창(Che Chang)은 “동남아시아가 전략적으로 중요한 이유는 지정학적 위치와 경제 성장세 때문이다”라고 말했다. 처는 지난 몇 년간 동남아시아 국가 정부와 군사 기관 모두 중국 해커 세력의 공통적인 공격 대상이 되었다고 설명했다. 2022년 하반기 기준 중국과 관련된 해커 세력의 동남아시아 국가 공격률은 2021년 하반기 대비 20% 증가했다.
보안 기업 리코디드 퓨처(Recorded Future)는 지난 2년간 동남아시아를 겨냥한 중국 해커 조직 10곳을 추적했다. 대부분 정부와 군사 기관을 겨냥하여 공격을 개시했다. 리코디드 퓨처는 보고서를 통해 2021년 내내 중국 산하 해커 조직과 연결되었을 확률이 높은 멀웨어 인프라와 통신하는 동남아시아 서버 400개를 감지한 사실을 전했다. 말레이시아와 인도네시아, 베트남이 표적이 된 사례가 가장 많다.
리코디드 퓨처 보고서는 “지금까지 확인된 보안 침입 작전이 남중국해 영유권 분쟁에 개입된 국가의 정보 수집이나 일대일로 계획과 관련된 프로젝트와 전략적으로 중요한 국가 정보 수집 등 중국 정부의 핵심 전략적 목적을 지지하는 것임이 분명하다”라고 진단했다.
중국 국가 산하 해커 세력은 세계 여러 국가 중 가장 교묘하면서 심각한 피해를 일으키는 세력 중 하나이다. 중국 국무원 산하 내각이자 2015년부터 대다수 사이버 작전을 담당한 국가안전부는 갈수록 더 심각한 무차별 사이버 공격을 개시해왔다. 리드는 중국 해커 세력이 종종 다른 조직과 플러그X와 섀도우패드 등 해킹 툴을 공유한다고 언급했다.
또, 동남아시아 내부에서는 스피어피싱(spearfishing) 관련 공격이 보편적이라고 덧붙여 전했다. 리드는 “스피어피싱은 다른 곳에서 발견된 사이버 공격보다는 교묘하지 않다”라고 말했다. 이어서 동남아시아 여러 국가에 2021ASEANcontactlistupdate.doc라는 파일을 첨부하여 전송된 피싱 메일을 언급했다. 리드는 “사이버 작전 대부분 중국 정부 관료 중 누군가가 중요성을 강조하며 추가 정보의 필요성을 이야기하는 등 정보 요구사항에 따라 개시된다”라고 말했다.
중국의 사이버 감시와 해킹 위협은 지난 몇 년 동안 더 큰 주목을 받았다. 미국과 영국 정보 관료는 중국 사이버 공격의 잠재적인 위험성을 경고했다. 2023년 2월 15일(현지 시각), 유럽연합 사이버 보안 기구(ENISA)는 중국의 사이버 보안 위협을 거듭 강조한 공개 자문 보고서를 발행했다. 보고서는 중국 해커 조직 6곳을 지목하며, 조직 내부의 작은 허점을 계속 형성한 뒤 정보를 탈취했다고 설명했다.
처는 동남아시아 전역에서 중국 사이버 공격 피해 증가가 미국의 아시아 내 관계 집중에 따른 대응일 확률이 높다고 진단하며, 경제, 보안 작전이 그럴듯한 명분이 된다는 부분을 강조했다. 처는 “미국 정책 변화가 중국의 긴장감을 자극했다”라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202303/4600_6053_4828.jpg)
뉴스레터 신청