중국 해커 부대 배후는?…상하이 정부 청사

2015년 08월 11일 오후 6:09 업데이트: 2019년 11월 9일 오후 3:09

미국에 가한 사이버 공격과 연관성이 있는 중국군 해커를 추적한 결과, 중국 상하이에 있는 정부 청사가 중국군 해커의 배후로 지목됐다. 중국군 해커의 배후를 밝혀낸 기관인 ‘프로젝트 2049’의 씽크 탱크는 중국 해커들이 중국공산당(또는 중공)이라는 증거도 포착했다.

‘프로젝트 2049’의 마크 스톡스 상임이사는 새로 발간한 보고서에서 중국군 해커 관련 내용을 소개했다. 보고서에는 중국군 해커의 사이버 공격 방식과 해킹 실력, 관련 기관들에 관한 내용도 담겨 있다.

미국 국방성은 지난해 5월 61398부대 소속의 중국군 해커 5명을 기소했다. 해당 부대는 최소 11명의 실력이 비슷한 해커들이 있는 해킹 최정예 부대로, 중국군의 전투부인 총참모부(GSD: General Staff Department)의 제3부 제2국 소속이다.

보고서를 집필한 스톡스는 중국 해커 부대가 단순히 컴퓨터 앞에 앉아 있는 군인들이 아니라 그 이상의 능력을 보유한 집단이라고 말한다. 중국의 해커 부대는 중국 전역에 그들의 진영과 시설이 있고, 중국 해커들은 미 정부나 기업들을 대상으로 사이버 공격을 가할 뿐 아니라 더욱 다양한 업무를 수행한다.

스톡스는 중국군 해커 부대 가운데 한 부대는 상하이 시 정부청사와 IP 주소를 공유하고 있다고 밝혔다. 해당 부대의 수장들은 베이징에 있는 총참모부 본사에 보고를 올리지만, 상하이 시 정부와 양쯔 강 삼각주에 있는 다른 정보 부대들과 사실상 대등한 관계인 것으로 보인다.

가장 이목을 끄는 점은 61398부대장이 상하이 시 정부청사의 한 부서장으로 겸직하고 있다는 사실이다. 스톡스는 해커 부대와 상하이 시 정부의 관계는 해커 부대가 총참모부 산하에 있다는 점을 고려해볼 때 시사하는 바가 크다고 말했다. 인민해방군 총정치부(GPD: General Political Department)의 연락부와 정보부 역시 상하이 정부청사와 관련이 있는 것으로 보인다.

물론 각 조직 간의 연관성을 확신하긴 아직 이르다. 하지만 스톡스는 “중국 당국의 군-경 관계를 잘 파악하면 앞으로 미국 정부가 중국의 사이버 간첩 활동을 저지하기 위한 대응책이나 방첩활동을 마련하는 데 도움이 될 것”이라고 말한다.

中 자국민에 대한 첩보 활동

해당 부대의 중국 해커들은 중국 전역에 스파이를 심어 뒀다. 스파이 대부분은 중국 시민을 상대로 한 중국 내 첩보활동에 이용될 가능성이 크다.

해커 부대 소속군인 2명은 상하이 라디오 관리국 산하의 전파 감시소와 관련이 있다. 스톡스는 이 전파 감시소가 바로 중국 내 첩보 활동에 사용되는 장소라고 추정한다.

이와 관련해 본지는 총참모부 소속 간부가 중국공산당이 새로 도입한 자국 내 첩보활동, 즉 ‘사회신용제도’에 주도적 역할을 하고 있다는 내용의 기사를 앞서 보도한 바 있다.

‘사회신용제도’에 정통한 소식통이 말한 바로는, 새롭게 도입된 제도하에서 비밀․일반 경찰과 첩보 기관, 그리고 각종 데이터베이스를 이용해 중국 자국민에 대한 정보가 수집된다. 이렇게 모인 정보는 통합 시스템을 통해 중국공산당이 자국민을 추적․감시하는 데 사용된다.

중공은 미국인들에 대한 데이터베이스를 생성하는 데도 이 시스템을 사용한다. 61398부대 같은 중국 해커 부대가 빼돌린 정보는 데이터베이스에 축적된다. 중국 해커들이 훔친 정보에는 미국 인사관리처가 보유한 미 연방직원들에 관한 사적인 정보도 포함된 것으로 추정된다.

스파이 활동에 이용하는 시설 가운데 61398부대가 관리하는 안테나 배열 장치는 총 3개로 중국 북부, 남부, 남서부에 각각 설치된 것으로 파악됐다. 중국의 사이버 스파이들은 안테나 장치를 이용해 목표물의 위치를 파악하고 중국 내의 고주파를 차단한다. 고주파는 군-정부 연락망, 단파 방송, 항공기 지상 제어 시스템에 쓰인다.

중국 동북부 쑤이화, 남서부 쿤밍, 남부 광저우에도 61398부대가 통제하는 첩보 활동 시설이 있다. 중국공산당은 이 시설을 이용해 중공에 비우호적인 인물들을 감시하고 그들의 활동을 방해하고 차단할 가능성이 있다고 스톡스는 전한다.

이 장치를 이용해 61398부대가 미 공군이 사용하는 고주파 네트워크를 차단할 가능성도 있다. 그뿐만 아니라, 중국 해커들은 해당 시설을 이용해 국제민간항공기구(ICAO)가 관리하는 해상 보안 네트워크나 국제 항공 교통관제에도 접근했을 수 있다.

스톡스는 중국 해커 부대가 국가정보보안기술센터를 창립하는 데도 일조했다고 말했다. 해당 센터가 어떤 구실을 하는지는 불분명하지만, 총참모부의 ‘제3부’가 이 센터를 운영하고 있다는 점은 확실하다. ‘제3부’는 중공의 해커와 통신정보운영을 담당하고, 과학기술부, 국가암호관리센터, 국가안전국, 공안부, 국가안전부의 업무를 대행하기도 한다.

이웃 나라 대상으로 첩보활동

스톡스는 상하이 시 정부청사와 61398부대의 관련성은 시사하는 바가 크다고 말한다. 상하이 푸동에 있는 해저 케이블 지상국을 포함한 일부 주요 시스템이 상하이 시 청사 가까이에 있기 때문이다.

61398부대는 푸동에 있는 차이나 텔레콤 (China Telecom) 인터넷 감시센터가 보유한 정보에도 접근할 수 있다. 스톡스에 따르면, 푸동의 감시센터는 난후이와 충밍 같은 중국의 다른 지역에 있는 해저 케이블 지상국으로 통하는 ‘관문’ 역할을 한다.

부대는 충밍에 있는 “주요 해저 케이블 지상국” 근처에 있는 워크 스테이션에 대한 감시 권한이 있고, 난후이의 케이블 지상국 인근엔 아예 군부대를 배치해 놓았다.

케이블 지상국들은 광섬유 케이블을 이용한 인터넷 트래픽과 전화 통화를 해킹하는데도 매우 유용하다. 이를 통해 61398부대의 해커들은 중국으로 출입하는 모든 정보를 탈취할 수 있다.

스톡스는 “관문지기 역할을 하는 제2국의 해커들은 중국 전역에서 벌이는 사이버 간첩 활동으로 이미 방대한 정보가 확인됐다는 사실을 알고 있을 가능성이 크다”며 “중국공산당 인민해방군 산하에 있는 또 다른 스파이 조직들도 칭다오, 산터우, 홍콩, 가장 최근에는 푸저우에 있는 지상국이 보유한 정보에도 이미 접근했을 가능성이 농후하다. 전자 정보와 관련한 업무를 수행하는 총참모부의 제4부 역시 61398부대와 활동지역이 일부 겹친다”고 말했다.

인민해방군 산하 정보원들과 61398부대의 해커들은 동일 인물일 수도 있다. 군의 인지 정보 작업을 감시․관리하는 부서는 총참모부 제2부이다.

61398 부대장이 상하이 시 정부 청사에서 겸직을 하는 것처럼, 총참모부 정보부의 상하이 연락부 국장도 상하이 시 정부 청사의 한 직위를 겸임하고 있다.

또 61398부대 군인들은 총참모부 제2부의 스파이 부대와 일부 플랫폼을 공유한다. 상하이 국제 전략연구협회와 상하이전력협회가 이에 해당한다.

이와 관련해 본지는 사이버 스파이와 중국군의 지시를 받아 첩보 활동을 수행하는 스파이들 간의 유사점을 지속적으로 보도해왔다. 제3부 산하 해커들은 제2부 산하 해커들의 해킹 경로를 은폐하기 위해 연이어 사이버 공격을 할 수도 있다. 관련 스파이들은 미국 기업과 정부 기관의 내부 인터넷망에 침투할 수 있는 능력도 갖추고 있다.

스톡스는 61398부대의 해커들이 다른 총참모부 기관과도 협력하고 있다고 전했다. 또한, 이들 해커는 대만, 미국 등지에서 이메일 교환, 컴퓨터 파일, 휴대전화 통화, 문자메시지를 차단할 수 있어 중공 총참모부 산하 총정치부가 정쟁에 이용할 수 있는 정보를 제공할 수 있다.

해커들이 해당 지역에서 입수한 정보들은 중국공산당이 정쟁에 이용할 수 있는 개인 신상을 담고 있다.

스톡스는 “연락부는 대만군에 관한 데이터베이스뿐 아니라 대령 이상의 외국군 인사에 관한 정보도 보유할 가능성이 있다”고 말한다.

외국 군인들에 관한 신상 정보는 보름 간격으로 갱신된다. 대상자의 출생 일자, 출생지, 교육 수준, 취향, 가족 관계와 현 위치에 관한 정보를 포함한다.

스톡스는 중국공산당의 군 해커들이 미국 인사관리청, 앤쌤 블루크로스(Anthem BlueCross)와 블루쉴드(BlueShield)에서 미국인들의 신상 정보를 훔치는 것은 중국 정보원들이 미 정부와 산업체, 씽크 탱크 컴퓨터망을 표적으로 합동 사이버 첩보 작전을 펼치고 있기 때문이라고 전했다.

한편, 61398부대는 중국공산당을 위해 이른바 ‘글로벌 전자 어항 (사생활이 보장되지 않는 세계라는 비유적 의미)’을 만들어 내는 데 중요한 역할을 하고 있다. 하지만 해킹 방식이나 능력을 조사한 결과, 중공의 해킹은 단순한 ‘사이버 첩보 활동’의 도를 넘어선 수준인 것으로 밝혀졌다.