中 ‘사이버 절취’ 점점 진화…” IT 관리회사도 타깃 대상”

프랭크 팡
2019년 05월 1일 오후 4:23 업데이트: 2019년 10월 26일 오후 8:47

최근 미 정부 관계자가 워싱턴에서 열린 사이버 보안 관련 회담에서 “중국의 사이버 절취 능력이 점차 진화하고 있다”고 경고했다.

미 국토안보부 산하 사이버·인프라 안보국(CISA)의 크리스토퍼 크레브스 국장은 “현재 중국의 사이버 절취 요원들은 각 기업에 직접 침투하기보다는 ‘조직체’에 침투하고 있음이 발견됐다. 이는 미국뿐만 아니라 유럽을 비롯한 여러 나라에서도 공히 나타나는 현상”이라고 말했다.

크레브스 국장은 4월 23일 개최된 제8회 사이버 교전 국제회의(ICCE)의 기조연설자로 나서서, 이같이 경고의 메시지를 전했다.

‘조직체’란 다른 기업의 정보기술(IT) 인프라 시스템을 관리하는 회사인 MSP를 가리킨다. 여기에는 중소기업 규모의 MSP뿐만 아니라 IBM과 같은 거대 기술기업도 포함된다.

크레브스 국장은 “많은 기업이 비용 절감과 생산성 향상을 위해 자사 IT를 MSP에 위탁하고 있다” “(사이버 절취 요원들은) 외주를 준 MSP에 침투한다. 이는 원하는 것을 손에 넣을 수 있는 훨씬 더 효율적인 방법이기 때문이다. 이들이 이런 식으로 손에 넣는 것이 바로 지적재산권과 개인 식별 정보”라고 설명했다.

그는 작년 12월 미 법무부가 MSP를 타깃으로 삼은 중국인 두 명을 기소한 사건을 예로 들었다. 해커 집단 ‘APT10’ 소속인 주후아와 장스룽이 전 세계 기업 및 정부기관이 위탁한 MSP의 컴퓨터 및 컴퓨터 네트워크를 해킹한 사건이다.

이들의 해킹은 중국의 주요 정보기관인 중국 톈진 국가안전부와 연계된 것으로 밝혀졌다.

2018년 10월 초, 미 국토안보부는 IT, 에너지, 의료, 통신, 제조업 등 다양한 부문의 미국 기업을 대상으로 APT10의 공격이 점점 증가하고 있다고 경고했다.

공격 대상으로 지목된 미국 기업은 중국이 ‘중국제조 2025’ 전략에 따라 우선순위로 삼은 산업 부문의 선두 주자 격인 기업들이다. 중국제조 2025는 중국이 로봇공학 및 고급 정보기술과 같은 첨단 부문을 장악하기 위한 중국의 산업 발전 청사진이다.

크레브스 국장은 “국내 인프라는 물론 전략적 산업 부문에 속한 기업이라면 타깃이 될 수 있으므로 리스크를 잘 관리해야 한다”고 주의를 당부했다.

특히 그는 “중국 내에서 비즈니스를 하려는 미국 기업은 중국의 ‘사이버 보안법’ 및 ‘국가보안법’ 때문에 자사 데이터가 중국 정부에 넘어갈 수 있으니 늘 조심해야 한다”고 덧붙였다.

2017년 6월 새롭게 시행된 중국 사이버 보안법은 중국 내에서 영업 중인 모든 기업을 대상으로 자사 데이터를 중국 내 소속 지역 서버에 보관하도록 하고 있다. 이는 중국 정부가 서버 내 데이터에 마음껏 접속할 수 있음을 뜻한다.

또한, 국가보안법에는 중국의 모든 단체 및 개인은 중국 정부의 국가 보안 관련 조치에 협력해야 한다고 규정하고 있다. 광범위하고 애매한 ‘국가 보안’이라는 말은 중국 정부가 요청하면 ‘언제나’ ‘반드시’ 응해야 한다는 것을 의미한다.

4월 12일, 미국 공영방송 NPR은 “익명의 백악관 관계자들의 추산에 따르면 기술 절취와 같은 중국 정부의 불공정한 비즈니스 관행으로 미국이 입는 피해액은 연간 570억 달러(약 66조 원)가 넘는다”고 보도했다.