본문 바로가기 주메뉴 바로가기 검색 바로가기
중국 대학 해킹 경연 대회, 실제 피해자 겨냥 공격 개시 논란
상태바
중국 대학 해킹 경연 대회, 실제 피해자 겨냥 공격 개시 논란
중국 군대와 관련된 해킹 대회 참가자는 보통 대회 활동을 비밀로 유지한다. 그러나 어느 한 연구팀이 참가자의 활동 비밀 유지 규칙에서부터 중국 어느 한 해킹 대회의 의문점의 수상한 점을 추가로 발견했다.
By Kim Zetter, WIRED US

보안 컨퍼런스에서 진행된 ‘캡처 더 플래그(Capture the flag)’ 해킹 경연 대회는 일반적으로 두 가지 목적을 두고 있다. 하나는 참가자의 컴퓨터 해킹, 보안 역량 개발 및 입증, 나머지 하나는 사측과 정부 기관의 새로운 인재 발견, 채용 지원이다.

그러나 중국에서 열린 어느 한 보안 컨퍼런스에서 한 단계 더 나아가 해킹 경연 대회를 개최하고, 비밀 감시 작전을 이용하여 참가자가 정체불명의 피해자를 대상으로 정보를 수집하도록 했다는 의혹이 제기되었다.

서양 연구원 두 명이 ‘전국 대학 사이버보안 공격 및 방어 대회(National Collegiate Cybersecurity Attack and Defense Competition)’이라는 이름으로도 알려진 중국에서 열린 논란의 해킹 경연 대회인 주지안 컵(Zhujian Cup) 문서 번역 결과, 3단계로 구성된 대회 단계 중 2023년 처음 진행된 단계에서 실제 경연 대회의 목적에 부적합한 비밀 활동에 악용되었을 가능성을 시사하는 비정상적인 특성 여러 가지가 발견되었다고 발표했다.

캡처 더 플래그(CTF)와 여러 유형의 해킹 대회는 보통 폐쇄적인 네트워크나 사이버 범위에서 개최된다. 대회 진행 시 대회를 위해 설정된 전용 인프라를 구축하여 참가자가 실제 네트워크를 파괴할 위험성을 방지한다. 해킹 경연대회를 위해 준비된 사이버 범위는 실제 세계 구성을 모방한 시뮬레이션 환경을 제공하고, 참가자는 시스템의 취약점을 찾고, 네트워크의 특정 영역 접근 권한을 확보하거나 데이터를 수집한다.

중국에서는 주요 기업 두 곳이 해킹 경연대회의 사이버 범위를 제공한다. 중국에서 열리는 대회 대부분 대회를 위해 사이버 범위를 설계한 기업을 공개한다. 그러나 주지안 컵 문서에는 대회 사이버 범위나 사이버 범위 공급사가 공개되지 않았다. 이 때문에 연구팀은 대회가 시뮬레이션 환경이 아닌 실제 환경에서 진행된 것이 아니냐는 의문을 제기했다.

대회 참가 학생은 몇 가지 비정상적인 조건을 명시한 문서에 합의 서명을 해야 했다. 대회에서 주어진 작업 관련 사항을 타인과 논의하는 것이 금지되었으며, 피해자 시스템 파괴나 피해 유발 행위도 금지되었다. 또, 대회 종료 시 시스템에 구축한 백도어와 대회 도중 수집한 데이터 모두 삭제해야 한다는 조건도 있었다. 연구팀이 조사한 중국 내 다른 해킹 경연대회와 달리 주지안 컵 참가자는 대회 특성이나 대회 도중 수행한 작업 관련 사항을 SNS에 게재하는 행위도 금지되었다.

대회 일부분에 해당하는 데이터나 문서, 인쇄물 복사, 대회 도중 발견한 취약점 정보 공개, 개인적 목적으로 취약점을 악용하는 행위 모두 참가자가 준수해야 하는 금지 사항이었다. 참가자가 서명한 합의 조건에는 대회 관련 데이터나 정보가 유출되어 대회 주최 측이나 중국에 피해를 준다면, 법적 책임을 져야 한다는 경고 사항도 포함되었다.

참가 조건 문서에는 “개인적인 이유로 대회나 관련 사건을 공개하는 정보 무엇이든 주최 측이나 중국에 피해를 유발하는 결과를 초래한다면, 관련 법률과 규정에 따라 법적 책임을 질 것이다”라는 내용이 명시되었다.

주지안 컵은 2023년 12월, 중국 산시성 시안시 서북공업대학교에서 주관한 대회이다. 서북공업대학교는 중국 산업정보기술부와 관련이 있는 대학이자 중국 정부, 군대와의 작업을 위한 일급기밀 접근 권한을 보유한 대학이기도 하다. 중국 인민해방군이 대학을 관리하는 것으로도 알려졌다.

서북공업대학교와 주지안 컵 공동 후원 기관 여러 곳 모두 와이어드의 대회 관련 문의에 답변하지 않았다.
 
[사진=Freepik]
[사진=Freepik]

보안 기업 센티넬원(Sentinel One) 전략 자문 컨설턴트 다코타 캐리(Dakota Cary)와 스위스 취리히공과대학교 보안연구 센터 수석 사이버 방어 연구원 유제니오 베닌카사(Eugenio Benincasa) 연구원 모두 중국 해킹 대회를 연구하면서 비정상적인 대회와 요구사항을 발견했다. 캐리와 베닌카사 모두 대서양위원회(Atlantic Council)에 주지안 컵 연구 관련 사항을 담은 보고서를 발행하고, 애리조나주 랩스콘(Labscon) 보안 컨퍼런스에서 연구 내용을 발표했다.

캐리와 베닌카사는 주지안 컵 대회가 실제 피해자를 겨냥한 공격에 동원되었다는 확실한 증거와 정황을 입증할 만한 증거가 없다는 사실을 인정했다. 그러나 실제 공격에 동원되었다는 의혹을 대신할 타당한 설명이 없다는 점에서 주지안 컵이 실제 사이버 공격 과정에 이용되었을 확률을 85%로 점쳤다.

북경어를 유창하게 구사하여 중국의 공격적 해킹 역량을 다년간 연구한 캐리는 “그럴듯한 다른 설명이 여럿 존재하지만, 뒷받침할 만한 증거는 없다”라고 전했다.

의혹을 대신할 만한 한 가지 설명으로 공격 표적이 대회 주최 측과 실제 네트워크의 취약점 발견 경험을 쌓을 기회를 제공하고자 협력하는 중국 기업이나 기관이었으며, 협력 기업에는 실제 적의 공격에 맞선 네트워크 보안 강화에 도움이 될 위협 평가를 제공했을 가능성을 제시할 수 있다.

캐리는 위와 같은 관행을 ‘크라우드 테스팅(crowd-testing)’이라고 칭한다고 설명했다. 그러나 주지안 컵 관련 문서에는 크라우드 테스팅이 전혀 언급되지 않았다. 캐리는 “실제 CTF 관행이 있었다면, 참가자가 데이터와 백도어를 삭제해야 하는 이유는 무엇인가?”라는 의문을 제기했다. 대회에 참가한 학생이 대회 과정에서 점유한 데이터나 정보 유출 시 법적 책임을 져야 한다는 조건도 의문점으로 제시할 수 있다. 대회에 참가한 학생이 사이버 범위 안에서 공격을 개시했다면, 대회 참가 조건으로 명시된 주최 측과 중국의 손실이나 피해가 발생할 일이 있는가?

주지안 컵은 2023년, 신년을 앞둔 주말인 12월 30일과 12월 31일 양일간 진행됐다. 대회에서 개시된 공격이 실제 세계의 네트워크를 겨냥했다면, 연말은 배치된 보안 인력이 평소보다 적은 편이면서 보안 문제 주의 수준이 낮고, 보안 침투 경고가 적은 시기라는 점에 주목할 필요가 있다. 당시 대회에는 29개교 학생 200여 명이 참석했다. 서북공업대학교의 대회 안내문에 따르면, 대회는 ‘이론적 지식 대회’와 ‘취약점 발견 경연 대회’, ‘공공 네트워크 표적 및 실제 침투 공격 대회’라는 단계로 구성되었다. 캐리와 베닌카사가 대회 중 실제 표적을 대상으로 한 공격이 개시되었다고 한 부분은 ‘공공 네트워크 표적 및 실제 침투 공격 대회’ 단계에 집중되었다.

캐리와 베닌카사는 2004년 이후 중국에서 개최된 CTF 대회 120건 이상 연구하여 사이버 공격, 방어 인재 채용 및 역량 확장을 위해 대회를 이용한 방식을 연구했다. 연구 대상이 된 대회 다수는 매년 개최되는 대회이다. 캐리와 베닌카사는 중국이 사이버 분야 인재 개발에 집중한 때는 에드워드 스노든(Edward Snowden)이 미국 국가안전보장국(NSA)이 정보 목적으로 대규모 해킹 작전을 개시한 사실을 폭로한 2015년부터라고 전했다.

중국은 사이버 방어 역량을 강화하고자 2015년부터 2021년 사이 대규모 사이버 보안 교육 프로그램과 인재 채용 계획을 진행했다. 추후 인재 채용 프로그램의 중요한 부분에는 CTF 대회 개발 및 규제가 포함되었다.

CTF는 중국에서만 진행되는 고유한 대회가 아니다. 미국을 포함한 세계 곳곳에서 개최되며, 라스베이거스에서 매년 개최되는 데프콘(Defcon) 해킹 컨퍼런스에서 진행되는 미국에서 가장 오래된 CTF 대회는 약 20년간 존재했다. 미국 정부도 다양한 해커톤을 주최하여 인재를 채용하지만, 중국처럼 그 규모가 큰 편은 아니다.

중국에서는 2014년부터 CTF 대회 라운드가 540회 이상 개최되었다. 대회 활동은 중국 사이버공간위원회 사무국과 공안부가 CTF 대회 규제, 홍보 안내를 발행한 2018년부터 가장 활발하게 이루어졌다. 이제 중국인은 공안부의 허가를 받아야만 중국이 아닌 다른 국가에서 개최되는 해킹 대회에 참석할 수 있다. 중국 지도자는 중국 학생과 보안 전문가에게 국제 해킹 대회에서 우수한 성적을 거둔다고 알리며, 중국인이 대회에 우승할 때마다 중국은 대회 도중 공개하는 취약점으로 귀중한 자산을 잃을 수 있다는 사실을 깨닫게 되었다. 이제 중국인이 해킹 대회에서 발견하는 취약점 모두 정부에 보고해야 하며, 외부에는 공개할 수 없다.

그러나 중국이 자국 내 CTF 대회를 개최하고자 하는 노력은 오늘날 중국이 보건복지, 법률 집행 분야의 특정 분야와 함께 세계에서 가장 강력한 해킹 대회 생태계를 보유한 국가 중 한 곳이라는 점을 의미한다. 캐리와 베닌카사는 지난 10년간 해킹 대회 누적 참가자 수가 30만 명을 넘었으나 학생에게도 참가 자격이 주어진 대회는 단 4개라는 점에 주목했다. 대회는 중국 전역의 대학에서 주관하면서 기업과 정부가 지원하기도 한다. 대회 우승자와 훌륭한 역량을 입증한 참가자는 국가 데이터베이스에 입력된다.

캐리는 주지안 컵이 실시간으로 실제 세계의 표적을 겨냥한 공격 과정을 포함했다면, 주최 측이 공격 사실이 드러날 때 대회 참가 학생이 법적 과실 책임을 져야 하는 위치에 둘 수 있다는 점을 지적했다. 그러나 실제 주지안 컵 참가 학생이 정부의 실제 작전에 참여했더라도 중국 정부가 정부 차원의 정보 작전에 학생을 동원한 사례는 과거에도 보고된 적이 있다. 2022년, 파이낸셜 타임스는 중국이 정부 작전 개입 사실을 인지하지 못하는 현지 대학생을 동원하여 중국 해킹 조직이 시행하는 감시 작전의 문서 번역, 데이터 탈취를 지시했다고 보도했다. 당시 정부 측은 동원된 학생에게 정보 출처를 알리지 않았다.

중국 해킹 대회가 기본적으로 중국 정부의 책임이 있는 실제 세계 보안 침입에 동원된 사례는 이번이 처음이 아니다. 2015년, 쓰레트 커넥트(Threat Connect) 연구팀은 2014년 당시 중국 동난대학이 TOPSEC 컵 해킹 대회에 협력한 사실과 같은 해 헬스케어 대기업 앤섬(Anthem)의 해킹 피해가 보고된 사실 간 관련성이 있다는 증거를 발견했다. 동난대학은 중국 국가안전부와 금전적 관계가 있다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Did a Chinese University Hacking Competition Target a Real Victim?
이 기사를 공유합니다
RECOMMENDED