미국 사이버 안전 당국이 중국 해커들의 정보 유출 사건과 관련해 마이크로소프트(MS)의 보안 시스템에 우려를 나타냈다.
국토안보부 산하 사이버 안전 심의위원회(CSRB)는 지난 2일 발표한 조사보고서에서 “중국 해커들이 지난해 미국 고위 관리들의 이메일 계정에 접근할 수 있었던 것은 허술하고 취약한 보안 시스템 때문”이라고 강하게 비판했다.
이 보고서는 지난해 6월 발생한 대규모 이메일 해킹 사건에 관한 조사 결과를 담고 있다.
당시 중국과 연계된 해커들은 미 정부기관을 포함한 약 25개 기관의 이메일 계정에 침입했다. 특히 이들은 미 국무부 계정에서 이메일 약 6만 건을 훔친 것으로 파악됐다.
지나 러몬도 상무장관, 니콜라스 번스 중국 주재 미국 대사, 대니얼 크리튼브링크 국무부 동아시아태평양 담당 차관보도 해커의 공격을 받았다.
보고서는 “이메일 해킹 사건은 절대 발생해서는 안 되는 것이었다. 이는 충분히 예방할 수 있는 일이었다”고 지적했다.
그러면서 “MS가 해킹 위협으로부터 네트워크 보안을 지키는 데 적절한 조치를 취하지 않은 것으로 확인됐다”고 전했다.
이어 “미 정부기관은 매년 수십 억 달러를 지불하며 MS의 소프트웨어, 클라우드 서비스를 이용하고 있다”며 “하지만 MS는 사이버 보안과 관련한 표준 관행을 따르지 않고 보안 시스템을 허술하게 관리해 왔다”고 덧붙였다.
보고서는 “심지어 MS는 중국 해커들이 어떤 식으로 이메일 계정에 침입했는지를 아직도 파악하지 못했다”고 알렸다.
또한 “MS의 보안 문화와 시스템은 부적절한 수준”이라며 “보안을 강화하기 위한 조치가 필요해 보인다”고 전했다.
해당 사건과 관련해 MS는 “‘스톰(Storm)-0558’로 알려진 중국 해커 그룹이 동시다발적으로 정부기관을 공격해 이메일 계정에 침입했다”며 “보안 취약점을 개선하기 위한 조치를 마쳤다”고 발표했다.
MS에 따르면 중국 해커들은 그해 5월부터 클라우드 컴퓨팅 환경의 보안 취약점을 파고들어 정부기관의 이메일 계정에 접근하려 시도했다.
당시 중국은 “미국의 주장은 사실과 다르다. 이는 중국을 비난하려는 시도일 뿐”이라고 반박했다.
그러나 최근에도 미국, 영국, 뉴질랜드, 캐나다 등이 중국 해커 그룹으로부터 사이버 공격을 받은 것으로 알려지며 중국을 향한 국제사회의 비판이 거세졌다.
미 국무부는 지난달 25일 중국 해커 그룹 ‘APT31’에 대해 “중국 방첩기관 국가안전부와 깊은 관련이 있는 사이버 위협 그룹”이라고 칭했다.
이어 “이들은 미 정부 당국자와 정치인, 선거 캠프 관계자, 경제 관련 단체 등을 표적으로 삼았다”고 밝혔다.
리사 모나코 법무부 차관은 “중국의 글로벌 해킹 작전은 중국 정권에 비판적인 이들을 탄압하는 것을 목표로 하고 있다”며 “중국 해커들은 악성 이메일 1만 건 이상을 유포해 전 세계 수천 명에게 피해를 입힌 것으로 파악됐다”고 말했다.
호주와 뉴질랜드도 이번 사건에 대한 비판에 동참하며 “중국의 사이버 스파이 활동에 대해 깊은 우려를 표한다”고 밝혔다.
*김연진 기자가 이 기사의 번역 및 정리에 기여했습니다.
