뷰페이지

[김규환 선임기자의 차이나 로드] 꼬리 밟힌 대륙의 해커부대

[김규환 선임기자의 차이나 로드] 꼬리 밟힌 대륙의 해커부대

입력 2014-06-28 00:00
업데이트 2014-06-28 00:00
  • 글씨 크기 조절
  • 프린트
  • 공유하기
  • 댓글
    14

美 보안업체·언론, 中 ‘코멘트 크루’ ‘퍼터 판다’ 정체 폭로… “7년간 주요국 정부·군사·통상 기밀 빼내”

중국 상하이(上海)시 외곽 창장(長江) 인근의 가오차오(高橋)진 다퉁(大同)로. 숲 속에 크고 작은 아담한 건물 10여동을 거느리고 우뚝 솟아 있는 12층짜리 흰색 사무실 빌딩이 유난히 눈길을 끈다. 대형 위성 접시 안테나 설비를 갖춘 이 사무실 빌딩은 미국 뉴욕타임스(NYT)가 지목한 중국 해킹 공격의 첨병 역할을 맡고 있는 인민해방군 61398부대의 본부 건물이다. 이 부대는 미국의 해킹 피해자들 사이에서 ‘코멘트 크루’ 또는 ‘상하이 그룹’으로 불린다.

이미지 확대
중국 해킹 공격의 첨병 역할을 하고 있는 인민해방군 소속 해커부대 61398부대의 본부로 알려진 상하이시 외곽의 12층짜리 흰색 건물. 건물 앞에는 해킹에 활용되는 대형 위성 안테나가 설치돼 있다.  뉴욕타임스 홈페이지 캡처
중국 해킹 공격의 첨병 역할을 하고 있는 인민해방군 소속 해커부대 61398부대의 본부로 알려진 상하이시 외곽의 12층짜리 흰색 건물. 건물 앞에는 해킹에 활용되는 대형 위성 안테나가 설치돼 있다.
뉴욕타임스 홈페이지 캡처
●상하이 외곽 다퉁로에 해킹 전초기지 운영

중국 해킹부대의 실체가 서서히 드러나고 있다. ‘코멘트 크루’에 이어 ‘퍼터 판다’라고 불리는 해커부대도 존재한다는 주장이 제기된 것이다. 미 정보보안업체 크라우드스트라이크는 상하이에 기반을 둔 인민해방군 소속 61486부대의 해킹 활동을 조사한 보고서를 발표했다고 NYT가 지난 9일 보도했다. 미 정부가 해킹 혐의로 소속 장교 5명을 기소한 61398부대와는 다른 별도의 61486부대가 미국 등의 주요 기관과 업체들을 해킹해 왔다는 주장이다.

크라우드스트라이크 보고서에 따르면 61486부대는 지난 7년 동안 ▲미국, 유럽, 일본의 정부기관 ▲핵무기 무인항공기(드론) 등의 부품을 정부에 납품하는 방위산업체 ▲항공우주 관련 업체의 컴퓨터를 해킹해 통상 및 군사 기밀 정보를 몰래 빼내 갔다. 부대는 61398부대와 같은 인터넷주소(IP)를 사용했으며 이메일을 수시로 주고받으며 정보를 공유한 것으로 밝혀졌다.

이미지 확대
61486부대는 골프 ‘퍼터’와 중국을 상징하는 ‘판다’를 합친 용어 ‘퍼터 판다’로 불린다. 골프를 주제로 한 회의에 자주 참석하는 인사들을 공격해 정보를 빼내 간 까닭이다. 이들은 항공우주산업 관련 회의 초대장이나 구인 공고 등으로 위장한 첨부파일을 이메일로 보낸 뒤 수신자가 파일을 열면 악성프로그램이 자동으로 설치되도록 하는 수법을 이용했다. 이를 통해 컴퓨터에 침투한 뒤 연결된 네트워크와 장비를 통해 통상 기밀과 항공우주 기술 관련 설계도를 훔쳤다. 퍼터 판다에 해킹당한 주요 기관 및 기업들의 인사는 수백명에 이르는 것으로 알려졌다.

●악성프로그램으로 항공우주기술 훔쳐

부대는 해외 웹사이트를 통해 공격하는 등 출처를 은폐하려 했지만 흔적을 모두 지우지 못해 덜미가 잡혔다. 해킹 툴(도구)은 주로 중국 시간대에 맞춰서 개발됐고 해킹에 활용된 웹사이트와 개인 블로그에 동일한 이메일 주소를 등록하는 실수도 저질렀다. 특히 중국 국가 차원의 해커 사관학교라고 의심받는 상하이자오퉁(交通)대 정보보안학과 학생의 이메일 주소로 등록된 웹사이트에서 원격제어프로그램을 가동하기도 했다. 크라우드스트라이크 공동 창업자 조지 커츠는 “현재 추적 중인 중국 내 해커 집단들을 살펴보면 지난달 산업스파이 혐의로 5명을 기소한 것은 빙산의 일각에 불과하다”고 지적했다. 미 국가안보국(NSA)도 이를 확인했다면서 현재 중국 내 20개의 해커그룹을 추적하고 있다고 NYT는 전했다.

미국 연방 대배심이 앞서 지난달 19일 인민해방군 장교 5명을 해킹 혐의로 기소하면서 ‘코멘트 크루’로 불리는 61398부대의 실체가 드러났다. 61398부대 장교들은 31차례에 걸쳐 태양광, 원전 등 미 기업 6곳을 해킹했다고 NYT가 보도했다. 이들은 철강업체 US스틸과 원전업체 웨스팅하우스의 정보를 빼돌리고 알루미늄업체 알코아의 이메일 2907건을 가로챈 혐의를 받고 있다. 해킹은 2010~2012년에 집중적으로 이뤄졌다. 당시 장교들은 중국 내 무역 협상과 관련해 중국 기업들에 유리한 정보를 빼내려 한 것으로 전해졌다. 미 사이버보안업체 파이어아이 위협정보관리자 젠 위든은 “61398부대는 중국 정부 명령에 따라 움직이는 기업 대상 스파이 조직”이라고 설명했다.

이에 대해 훙레이(洪磊) 중국 외교부 대변인은 이날 브리핑을 통해 NYT 보도가 “일부 기초적인 정보를 가지고 함부로 (인민해방군을) 비난했다”며 “극히 무책임하고 비전문적”이라고 반박했다. 그러면서 “미국이 각국의 정부와 기구, 개인에 대해 도청과 감시를 하는 것은 세계인 누구나 아는 사실”이라면서 중국이 오히려 미국 인터넷 침투의 엄중한 피해자라고 목소리를 높였다.

●美 지난달 산업스파이 혐의 5명 기소

사실 61398부대의 실상은 이보다 훨씬 앞선 지난해 2월 공개됐다. 미 CNN 취재진이 ‘해킹 흔적’을 쫓아 중국 상하이 푸둥(浦東)신구 12층짜리 흰색 건물을 취재하다 중국 공안에 붙잡히면서 실체가 드러났다. 이어 NYT가 미 컴퓨터 보안업체 맨디언트의 보고서를 인용해 61398부대가 미 정부와 주요 기관, 기업들을 공격한 중국의 비밀 해킹 전초기지라고 폭로했다. 신문은 61398부대가 인민해방군 공식 편제상에 공개되지 않은 조직이라며 그러나 인민해방군 총참모부 산하 특수기밀부대인 제3부 2국에 소속돼 있다고 전했다. 주요 목표는 미국 등 주요국의 정치·경제·군사 관련 정보 획득이며 이 부대를 상하이에 둔 것은 주변 지역에서 정보기술(IT)산업이 발달한 만큼 해커 모집이 용이하기 때문인 것으로 추정된다. 실제로 상하이자오퉁대나 항저우(杭州)의 저장(浙江)대 등은 정보·통신·보안 분야의 인재 양성소로 알려졌다.

●中정부 “美가 세계 도청·감시”

61398부대의 요원은 수천명이며 입대 조건으로 국가 장학금을 받고 IT를 전공한 사람도 상당수인 것으로 전해졌다. NYT는 “이 부대가 2006년부터 20여 개국 140여개 산업 분야에서 정보를 빼 간 정황을 포착했다”면서 “장기간에 걸친 대규모 해킹은 정부 차원의 직접적인 지원 없이는 불가능하다”고 강조했다. 이 부대는 중국 기업 인수전에 나선 코카콜라, 미 방위산업체 록히드마틴도 해킹 대상으로 삼았다. 최근에는 전력 스마트그리드, 가스 파이프라인, 수도 등 미국의 중요한 인프라와 관련된 회사에 집중하고 있다. 특히 미 연방정부의 데이터베이스를 보호하는 컴퓨터 보안회사 RSA도 해킹의 제단에 바쳐졌다.

khkim@seoul.co.kr
2014-06-28 16면

많이 본 뉴스

  • 4.10 총선
저출생 왜 점점 심해질까?
저출생 문제가 시간이 갈수록 심화하고 있습니다. ‘인구 소멸’이라는 우려까지 나옵니다. 저출생이 심화하는 이유가 무엇이라고 생각하시나요.
자녀 양육 경제적 부담과 지원 부족
취업·고용 불안정 등 소득 불안
집값 등 과도한 주거 비용
출산·육아 등 여성의 경력단절
기타
광고삭제
위로