중국 정부 지원을 받는 해커 조직은 다년간 전 세계 기업 기밀, 정치 정보, 수백만 명의 개인 정보 등을 무더기로 탈취했다. 2024년 3월 25일(현지 시각), 미국과 영국 당국 관계자가 중국 해커 조직의 해킹 의혹을 담은 긴 목록을 확장하면서 영국 선거 감시 기구 보안 공격과 4,000여 명의 데이터 접근이 중국 소행이라고 주장했다. 미국과 영국은 여러 건의 형사 기소와 함께 다년간 해킹 작전을 개시한 별도의 중국 조직을 제재 대상으로 추가했다.
2023년 8월, 영국 선거관리위원회(Electoral Commission)는 적국 조직이 2021년 8월 당시 위원회 시스템에 침투하였으며, 2022년 10월 자로 해킹 공격에 대응할 때까지 14개월간 민감 데이터에 접근했을 가능성이 있다는 사실을 밝혔다. 올리버 다우든(Oliver Dowden) 영국 부총리는 영국 국회의원에게 중국 정부 산하 해커 세력이 선거관리위원회 공격을 개시했다고 발표했다. 또한, 영국 정보국에서는 2021년, 중국 해커 조직 APT31이 정치인 이메일 계정을 겨냥한 사이버 공격 작전을 개시한 것으로 판단했다고 전했다.
다우든 부총리는 영국 하원의회에서 “중국 정부와 연계된 조직과 개인이 영국 민주주의 기관과 의회, 그리고 그보다 더 넓은 영역까지 겨냥하여 개시한 악성 사이버 활동이 분명하게 드러난 가장 최근의 사례이다”라고 말했다. 중국 정부 산하 해커 조직의 사이버 공격 사실을 폭로함과 동시에 APT31과 관련된 인물 두 명과 기업 한 곳을 영국 정부의 제재 명단에 추가했다.
영국 정부의 발표에 이어 미국 법무부와 재무부 해외자산통제국(Office of Foreign Assets Control)은 바이올렛 타이푼(Violet Typhoon), 브론즈 바인우드(Bronze Vinewood), 저지먼트 판다(Judgement Panda) 등 다양한 이름으로도 알려진 APT31에 맞선 추가 제재를 발표했다. 미국 정부 차원의 제재 중에는 중국 국적자 7명을 대상으로 한 컴퓨터 침입 및 금융 사기 개시 음모 혐의 기소도 포함되었다.
미국 법무부는 중국 국가안전부(MSS)의 지원과 연결된 APT31이 14년간 세계 각지의 중국 정부 비판론자와 기업, 정치 기관 등을 대상으로 포괄적인 감시 작전을 개시했다고 주장했다. APT31의 감시 작전에는 기자를 대상으로 한 수신 기록을 추적한 악성 메일 1만 건 이상 전송, 이메일 계정 보안 및 클라우드 저장소 계정, 전화 기록, 가정용 라우터 등의 보안 침입 공격 등이 있다. 미국 백악관 관료의 배우자와 미국 상원의원 여러 명도 중국 정부의 감시 대상이 되었다.
브레온 피스(Breon Peace) 뉴욕 동부지방 변호사는 공식 성명을 통해 “미국 정부가 APT31과 APT31 소속 중국 국적자를 상대로 제기한 혐의는 미국 선출직 관료와 정부 관료, 언론인, 학자의 민감 데이터, 미국 기업의 중요한 정보, 미국 등 해외에 거주하는 중국 반정부 인사 등을 노린 중국의 대규모 불법 해킹 작전을 드러낸다”라며, “중국의 사악한 해킹 작전으로 전 세계 인구 수천 명과 기관이 피해를 보았으며, 그 피해는 10년 넘게 이어졌다”라고 발표했다.
영국과 미국의 제재는 2024년, 전 세계 100개국 이상이 중요한 선거를 치르는 시점에 중국과 관련된 감시 작전 증가 추세를 경고하는 국가가 증가하는 시점에 시행되었다. 양국 관료의 공식 성명은 중국의 해킹 활동이 전 세계 선출직 관료를 겨냥한 감시 작전, 홍콩 민주화 운동 세력과 정치인 공격 등 민주화 절차에 미치는 악영향에 초점을 맞추었다. APT31 및 중국 국적자 제재, 기소 발표 시점은 틱톡 매각 실패 시 미국 내 금지로 이어질 수 있는 미국 기업으로의 지분 매각 발의안 등 서양 정치인이 친중 혹은 반중 노선을 선택해야 하는 상황과 일치하기도 하다.
[사진=Pixabay]
영국 관료가 해킹 활동을 상세히 발표하자 린젠(Lin Jian) 중국 외교부 대변인은 정례 브리핑에서 “거짓 정보”라고 반박하며, 자국 기자단을 대상으로 일방적인 불법 제재에 반대한다고 발표했다. 린 대변인은 “사이버 보안 사건의 특성을 조사하고 판단할 때는 사실이 존제하지 않을 때 타국의 명예를 훼손할 것이 아니라 적합하면서도 객관적인 증거가 필요하며, 사이버 보안 문제와 정치적 성격 간 관련성을 줄여야 한다”라고 발표했다.
팀 스티븐슨(Tim Stevens) 킹스칼리지런던 사이버 연구 단체 책임자 겸 세계 보안 부교수는 “중국은 막대한 전 세계적 방해 및 감시 작전을 개시하며, 영국과 동맹국은 중국의 감시 작전에 신물이 난 상태이다”라고 설명했다. 스티븐슨 교수는 중국의 감시 작전에 맞선 공개 망신과 제재로도 중국의 행동이 크게 변하지 않을 것으로 예상하면서도 국제 문제에서 용납할 수 있는 사안과 용납할 수 없는 사안을 두고 다른 국가에 보내는 경고가 될 수 있다고 보았다.
중국은 일부 사이버 공격 개시 계약을 맺은 기업 외에도 국가 산하 정보국, 군대 등과 관련된 거대한 해커 조직을 보유했다. 다수 해커 조직은 10년 이상 활동했다. 보안 기업 센티넬원(SentinelOne)의 중국 전문 컨설턴트 다코타 캐리(Dakota Cary)는 중국 민간 정보국과 관련된 단체가 주로 외교, 정부 정보 수집 및 감시 작전을 시행하며, 중국 군대 해커 조직은 주로 전력 그리드 공격과 수자원 공급 시설 등 미국 주요 기반 시설 공격 배후라고 설명했다. 캐리는 “중국이 동시다발적으로 각종 사이버 공격 활동에 가담한 사실을 확인했다”라고 전했다.
미국 관료는 APT31 조직원을 대상으로 한 형사 기소와 제재 외에도 전 세계 기업, 정치 기관, 중국 반정부 인사를 대상으로 한 여러 건의 해킹 의혹도 설명했다. 미국 정부가 공개한 작전 중에는 미국 5G 이동통신 장비 업계 선두 공급사, 노르웨이 정부 관료, 항공 업계 및 방위산업체 직원을 겨냥한 감시 작전도 있었다. 미국 정부는 우한이라는 도시에 있는 중국 국가안전부의 후베이성 보안국이 APT31을 운영한 사실도 공개했다.
미국 법무부의 기소 대상이 된 중국 국적자 7인은 니가오빈(Ni Gaobin), 웡밍(Weng Ming), 청펑(Cheng Feng), 펑야오웬(Peng Yaowen), 순샤오휘(Sun Xiaohui), 시옹왕(Xiong Wang), 자오광종(Zhao Guangzong)이다. 자오광종과 니가오빈은 제재 명단에도 이름을 올렸다. 두 사람 모두 미국, 영국의 제재 대상이 된 기업이자 중국 국가안전부와 관련된 해킹 작전을 다룬 기업인 우한 XRZ(Wuhan XRZ)와 관련된 인물이라는 의혹을 받았다. 미국 재무부는 우한 XRZ 직원이 2018년, 텍사스 에너지 기업을 해킹했다고 발표했다.
미국 법무부가 공개한 27페이지 분량의 기소장에 따르면, APT31은 Rawdoor, Trochilus, EvilOSX 등 첨단 멀웨어를 이용해 시스템 보안을 공격했다. 또한, 침투 테스트 툴 코발트 스트라이크 비콘(Cobalt Strike Beacon)의 크랙/불법 복제 버전을 동원해 피해 기관의 보안을 공격하기도 했다. 기소장에는 APT31이 2010년부터 2023년 11월까지 미군과 미 공군, 해군 전투기 시뮬레이터 설계를 담당한 방위산업체와 미국 업계 단체, 철강 기업, 버지니아주 머신러닝 연구소, 여러 연구 병원 시설 등의 데이터 접근 권한도 손에 넣었다는 내용도 언급되었다.
영국 정부는 중국과 관련된 별도의 사건 두 건을 발표했다. 첫 번째 사건은 2021년, APT31이 영국 국회의원 43명의 이메일 수신함을 겨냥한 해킹 공격을 개시한 사례이다. 두 번째 사례는 추가로 이름이 밝혀지지 않은 중국과 관련된 해커 세력이 개시한 영국 선거관리위원회 해킹이다. 영국 선거는 지역 단위로 분산되어 운영되며, 위원회가 선거 과정 전체를 감독한다. 지역 단위로 분산된 채로 선거를 개시한다는 점은 선거 과정의 무결성이 침해되지 않았음을 의미한다. 그러나 중국 해커 세력이 영국 선거 관련 데이터를 무더기로 탈취했을 가능성이 확인됐다.
2023년, 영국 선거관리위원회는 해킹 사실을 발표할 당시 해커 세력이 4,000만여 명의 상세 정보에 접근했을 가능성을 밝혔다. 또한, 2014년부터 2022년 사이 등록된 영국 유권자 이름과 주소 모두 해커 세력의 손에 넘어갔을 가능성과 파일 공유와 이메일 시스템 접근 가능성도 밝혔다. 캐리는 “중국이 영국 선거 관리 체계를 공격했다는 사실이 매우 놀랍다. 특히, 중국이 유럽연합과 외교 관계를 유지하려 한다는 점을 고려하면, 영국 선거관리위원회 해킹 사실은 더 놀랍다. 중국에는 영국과 같은 선거 체계를 겨냥하여 공격한 것이 매우 중요한 작전이다. 지역 단위로 분산된 선거 체계는 매우 민감한 부분이기도 하다”라고 말했다.
지난 몇 년간 여러 국가가 중국의 해킹 사실을 알렸으나 중국의 해킹 작전은 탐지하기 어려운 전략과 수법으로 진화했다. 보안 기업 시큐어웍스(Secureworks) 위협 대응팀의 위협 정보 부사장 돈 스미스(Don Smith)는 “지난 몇 년간 중국 정부 산하 해킹 작전이 발견되면서 공개적으로 사라지면서 중국은 사이버 감시 공격을 몰래 개시할 역량을 쌓는 것을 갈수록 강조했다. 과거, 무작정 공격을 개시하여 정보를 손에 넣던 해킹 수법의 변화이다. 하지만 중국에서는 해킹 수법 변화를 탐지가 어려운 수준으로의 해킹 수법 발전과 공격을 중국의 소행으로 보는 것이 불가능한 수준이 되는 데 필요한 진화 과정이라고 본다”라고 설명했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202403/5442_7038_285.jpg)
뉴스레터 신청