中 해커 사냥하는 조직 등장…정체 밝혀내 진상 폭로

허젠(何堅)
2018년 10월 8일 오후 4:15 업데이트: 2019년 11월 5일 오후 12:25

미·중 무역전쟁이 가열되면서 중국의 강제 기술 이전 및 절도 행각이 전 세계에 드러났다. 사실상 중국은 인터넷과 컴퓨터 화면, 그리고 데이터 흐름의 이면에서 외국 정부와 기업에 대한 해킹 공격을 멈춘 적이 없다. 하지만 이런 공격이 지금은 저격당하고 있다. 한 신비한 조직이 중국의 해커 부대를 공격하면서 그들을 하나하나 끌어내고 있다.

‘Intrusion Truth’는 최근에 두각을 나타낸 조직이다. 이들은 중국공산당 정권과 관련된 해커를 찾아내고 정체를 밝히는 데 주력하고 있다.

‘Intrusion Truth’, 중국 사이버 스파이 저격

‘프라이스 워터 하우스 쿠퍼스(Price water house Coopers, PwC)’가 2017년 4월에 사이버 스파이 활동을 반영한 APT 보고서를 발표한 이후 Intrusion Truth는 해킹조직 ‘APT10’의 멤버로 의심되는 일련의 해커 이름들을 공개했다.

APT는 ‘지능형 지속 위협(Advanced Persistent Threats)’의 약자로, 특별히 상업적 또는 정치적 동기에 의한 사이버 간첩활동을 지칭한다.

지난해 4월 3일, PwC는 세계 3위의 방산업체인 영국 ‘BAE 시스템스’와 공동으로 ‘Operation Cloud Hopper’라는 APT 보고서를 발표해, 중국 해커 조직 APT10이 세계 최대 규모의 사이버 첩보 활동을 개시했다고 지적했다.

보고서는 APT10(일명 CVNX, Stone Panda, MenuPass 또는 POTASSIUM)이 전 세계 각지의 MSP(Managed Service Provider, 고객사의 정보기술 자원을 운영·관리해주는 업체)를 공격하고, 또 이러한 공격 방식을 발판으로 지적재산권을 절취한다고 밝혔다.

Intrusion Truth는 인터넷 매체 ‘미디엄(Medium)’에 “지적재산권 절도는 서방과 그들의 온라인 라이벌(주로 중국공산당) 간의 글로벌 대항”이라고 말했다. “최근까지 중국은 승리를 거두었고 법망에서 벗어나 있다. 중국은 상업용 해커로 데이터와 기술을 빼내면서도 그것이 범죄자의 행위라며 억지 주장을 한다”고 지적했다.

Intrusion Truth는 자신을 APT 사냥꾼으로 자리매김한 후, APT 침입 배후의 검은손을 잡아내겠다고 맹세했다.

Intrusion Truth, 인터넷 사냥에 성공

Intrusion Truth는 설립된 시간은 짧지만 전적은 비범하다. 2017년 4월 Intrusion Truth는 가장 먼저 APT3의 해커 신분을 폭로하고, APT3 해커조직과 중국 국가안보 시스템과의 관계를 지적했다. 그 후 APT3는 해체됐다.

APT3는 Gothic Panda, Buckeye, UPS Team 또는 TG-0110 등 여러 개의 다른 이름이 있다. 처음에는 인터넷 보안회사 파이어아이(FireEye)가 2010년 ‘Hupigon Joins The Party’ 보고서에서 폭로했다.

APT3는 Pirpi라는 트로이목마를 사용해 미국과 영국의 항공우주, 방어, 건축, 공정, 정부기관 등의 네트워크 시스템을 공격했다. 인터넷 보안업체 시만텍(Symantec)는 2015년 보고서에서 APT3가 홍콩 표적도 공격했다고 했다.

Intrusion Truth는 파이어아이 2010년 보고서의 도메인 등록 정보를 분석해 APT3의 중국 해커 우잉줘(吳穎卓, Wu Yingzhuo)와 둥하오(董浩, Dong Hao)를 찾아냈다. 두 사람은 광저우 ‘보위섹(Boyusec)’의 주주이다.

Intrusion Truth는 보위섹과 광저우 국가안전부와 관련이 있으며, APT3(Boyusec)가 광저우 국가안전부의 지휘를 받고 있음을 발견했다.

반년 뒤인 2017년 11월 미 법무부는 무디스 애널리틱스(Moody’s Analytics), 지멘스 주식회사(Siemens), 트림블 네비게이션(Trimble) 등 기업을 해킹한 혐의로 우잉줘, 둥하오, 샤레이(Xia Le) 등 3명의 중국 해커를 각각 기소했다.

법무부 문건에 따르면 우잉줘와 둥하오는 보위섹의 주주이고 샤레이는 직원이었다. 미 정보계에서는 보위섹이 중국 국가안전국의 협력업체로 인정하고 있다. 그러나 미국 검찰은 기소하면서 중국 정부를 직접 언급하지는 않았다. 또한, Intrusion Truth의 폭로로 인한 기소라는 증거도 없었다.

Intrusion Truth, 수렵 중 APT10 겨냥

Intrusion Truth는 1년 동안 잠복한 뒤 사이버 보안계에서 악명 높은 해킹조직 APT10을 겨냥했다. 다수의 인터넷 보안 회사들은 APT10이 중국 당국의 지지를 받고 있다고 생각한다.

Intrusion Truth는 APT10이 톈진시 국가안전국의 관리를 받고 있다는 것을 발견하고 빠르게 정옌빈(Zheng Yanbin), 가오창(Gao Qiang, 高强)과 장스룽(Zhang Shilong, 張世龍) 등 3명의 중국 해커를 찾아냈다.

Intrusion Truth는 이들의 각자 역할을 알아냈다. 정옌빈은 C&C 서버(Command and Control Server)를 구매해 APT10 해커에게 제공하고, 가오창은 C&C 서버를 사용해 APT10을 위한 첩보 행위를 하며, 장스룽은 가오창의 친구로 2017년 클라우드 호퍼(Cloud Hopper) 보고서에서 관련 정보가 폭로된 후 정보를 삭제하는 동작을 취했다.

Intrusion Truth가 최근 공개한 APT10 해커는 안즈창(An Zhiqiang, 安志強)이다. 안즈창의 ‘톈진(天津) 톈쟈오이예(天驕易業) 테크놀로지’의 책임자이다. Intrusion Truth는 안즈창과 그의 회사가 모두 APT10의 사이버 스파이 활동과 관련이 있다고 믿는다.

중국이 해커 부대를 이용해 기술과 기밀을 절취한다는 것은 업계의 공공연한 비밀이지만, 인터넷 보안업체는 통상 정부 관련 해커의 신분을 공개하지 않는다.

하지만 Intrusion Truth는 다르다. Intrusion Truth는 “우리는 불법적이고 불공정한 활동에 직접 도전해 책임자를 폭로하고 해커 본인을 지목하며, 그 배후에 있는 조직을 찾아낸다”고 강조했다.