中 국가 소속 해커들의 새로운 표적은?… 개인 정보

중국의 국가 소속 해커들이 공격 표적을 바꾸면서 사이버 공격에 새로운 경향이 나타나고 있다. 미국인에 관한 정보 수천만 건을 빼돌린 최근 불법 유출사건은 시작에 불과하다.

최근에만 해도 중국군 해커들은 돈이 되는 지적 재산과 정보를 표적으로 삼고 있었다. 이제 그들은 해커의 세계 밖에서 가치 없다고 여겨진 정보를 해킹하는 데 열중하고 있다.

보안 및 위험 평가 업체인 트루쉴드시큐리티(TruShield Security)의 에릭 데반스키(Eric Devansky) 세계보안서비스 국장은 “해커가 대상으로 삼는 정보 유형의 패러다임이 바뀌고 있다”고  말했다.

이런 경향은 최근 미국 인사국을 해킹 공격한 사건에서 두드러진다. 해커들은 미국 연방정부 직원 약 2150만 명의 신원 조회 자료를 빼돌렸다. 이에 앞서 해커들은 의료보험 회사인 앤섬(Anthem Inc.)이 보유한 고객정보 약 8000만 건도 훔쳐갔다.

데반스키에 따르면, 이런 형태의 사이버 공격은 한번이 아니다. 이는 사이버 공격의 새로운 경향을 나타낸다. 해커들이 여기서 멈출 가능성은 매우 낮아 보인다.

데반스키는 해커들의 주요 표적은 연방 정부 직원들이 자주 사용하는 프로그램들로 보인다고 말했다. 공격을 받은 각기 다른 데이터베이스에는 같은 개인에 관한 다른 정보가 들어 있다는 점에서 이전 사이버 공격들은 서로 연관성이 있다.

해커들은 중국 당국이 염탐하려는 사람들의 프로필을 완성하는 데 도움을 줄 것이다.

이와 관련 있는 한 소식통은 대기원시보와 이전 인터뷰에서 중국공산당(이하 중공)이 미국인들에 대한 데이터베이스를 구축하고 있다고 말했다.

그 소식통이 말한 바로는, 자료를 자세히 조사하기 위해 중공은 국내 스파이들이 사용하는 프로그램인 소셜크레딧시스템(Social Credit System)을 똑같이 사용하고 있다. 이 시스템은 중국 시민에 대한 프로필을 연결하고 거의 모든 중국의 상업적 서비스와 경찰서, 첩보 기관들로부터 정보를 수집한다.

최근 공격 유형

이 해커 집단의 가장 최근 사이버 공격은 유나이티드 항공(United Airlines)에 대한 사이버 공격 혐의를 받고 있다. 블룸버그(Bloomberg)는 해커들이 승객들의 탑승 기록이 들어 있는 비행 정보를 탈취했다고 7월 29일 보도했다.

유나이티드 항공은 공격을 분명하게 부인하지는 않았으나, 커뮤니케이션 부의 루크 펀젠버거(Luke Punzenberger)는 이메일로 보낸 성명서에서 블룸버그 기사는 “단순 추측 보도”였다고 말했다. 펀젠버거는 “우리 회사는 우리 고객들 개인 정보의 안전을 보장한다”고 말했다.

블룸버그는 그 조사에 관해 잘 알고 있는 익명의 소식통을 인용했지만, 조사 결과를 독자적으로 확인할 수 없다. 하지만 기사 보도 내용은 데반스키가 말한 최근의 해킹 추세를 뒷받침한다. 다른 많은 표적이 해킹 목록에 곧 포함될 가능성이 크다.

데반스키는 유나이티드 항공사의 사례에서 사이버 스파이들이 “탑승객의 여행 정보, 즉 출발지와 행선지를 들여다봤을 것”이라고 말했다. 유나이티드 항공이 미국 정부의 계약업체로 연방 정부 직원들이 자주 이용하는 항공사라는 점을 고려해 볼 때, 위와 같은 사례는 더 커다란 전체 그림에 들어맞는다고 데반스키가 말했다.

데반스키는 그의 보안 회사인 트루쉴드시큐리티가 이번 공격이 중국에서 비롯됐다는 것을 증명하는 확실한 증거가 있다고 말했다. 그는 “저희는 트루쉴드모니터(TrueShield monitors)라는 네트워크를 통해 매우 유용한 정보를 가지고 있다”며 “최근에 일어난 사이버공격들은 서로 연관이 있을 가능성이 매우 크다”고 지적했다.

그의 회사가 모니터한 네트워크에 의하면, 최근 미국인들을 표적으로 한 정보 유출은 추적 결과, “중국에 있는 한 외국 첩보 요원이 한 것”으로 드러났다.

데반스키는 고객과 한 기밀 유지 협약 때문에 자세한 정보를 제공할 수 없었다. 하지만 그는 최근의 사이버 공격들이 “같은 공격 경로와 해킹 바이러스”를 사용한다며, “우리는 공격당한 정보 유형 사이의 연관성을 찾고 있다”고 말했다.

데반스키는 또 다른 보안 연구가들이 일부 증거를 찾아냈다고 밝혔다. 사이버 공격은 ‘사쿠라(Sakula)’로 알려진 원격제어 해킹 바이러스(Remote Access Trojan, RAT)를 이용해 이루어졌다. 해커들은 RAT로 감염된 컴퓨터를 제어한다.

악성코드 사쿠라는 보안 연구가들이 딥팬더(Deep Panda), 액시엄(Axiom), 그룹72(Group 72) 등으로 이름 붙인 중국 당국의 해커들이 사용한다.

딥팬더는 2014년 11월에 크라우드스트라이크(CrowdStrike)라는 보안업체가 밝혀냈다. 당시에 이미 많은 곳이 피해를 보았으나 어떤 업체가 피해를 당했는지는 밝혀지지 않았다. 크라우드스트라이크의 발표에 의하면, 피해 업체 가운데는 미국 방위산업체, 의료보험회사, 정부기관, 기술업체도 있었다.

크라우드스트라이크는 2014년 11월 모든 사이버 공격에서 해커들이 사용한 독특한 방법들을 찾아내어 일련의 해킹 공격이 서로 연관돼 있음을 밝혀냈다. 트루쉴드시큐리티는 최근의 사이버공격에서 유사한 양식이 있는지를 조사하고 있다.

표적이 된 정보의 유형을 보면 정부만이 아니라 컴퓨터를 사용하는 모든 개인에게 그런 사이버 공격은 우려스러운 일이다. 데반스키는 수많은 웹사이트와 서비스가 사람들에 대한 민감한 정보를 가진 세계에서, “그런 사이버 공격은 눈앞에 닥친 문제”라고 말했다.

데반스키는 “우리가 모두 현재 직면한 문제에 대처할 준비가 전혀 되어 있지 않다고 생각한다”며, “개인의 정보를 저장한 기업이나 조직은 해킹을 방어하고 사이버 공격에 대응할 능력을 갖춰야 한다”고 강조했다.