美법무부, 미국인 1억4500만명 개인정보 유출 혐의로 中장교 4명 기소

바 장관 “우발적 사건 아닌 정권 차원의 조직적 해킹”

미 법무부가 소비자 신용보고 기관인 에퀴팩스(Equifax)를 해킹해 미국인 약 1억4500만 명의 개인정보와 해당사의 데이터를 훔친 혐의로 중국군 4명을 기소했다고 10일(현지시간) 밝혔다.

2017년 5월에 일어난 역사상 가장 큰 해킹 중 하나인 에퀴팩스 사건이 2년여간의 조사를 거쳐 종지부를 찍을 시점에 이르렀다.

애틀랜타의 연방 대배심(Grand Jury)은 지난주 중국 인민해방군 소속 군인 4명을 에퀴팩스의 컴퓨터 시스템을 해킹하고 미국인의 개인 데이터와 해당 기관의 중요한 거래 기밀을 훔친 혐의로 9개의 공소장을 제출했다.

이들 4명은 중국 공산당 중앙 군사 위원회의 지휘하에 있는 중국인민해방군 출신으로 우지용(吳志勇), 왕치안(王乾), 쉬커(許可) 류레이(劉磊) 등이다. 4명 중 쉬커와 류레이는 인민군 제54 연구소 소속이다.

윌리엄 바 미 법무장관은 이날 당국의 보도자료를 통해 “이번 사건은 미국 국민의 사적인 정보를 의도적이고 전면적으로 침해한 것”이라고 지적했다.

바 장관은 이날 기자회견에서 “해커들은 몇 주 동안 이 시스템 안에서 악성 소프트웨어를 업로드하고 절도 행위를 위해 로그인 자격 증명을 훔쳤다”고 말했다.

2017년 5월 중순, 공격자들은 에퀴팩스 시스템에 접근하기 위해 아파치 스트러츠(Apache Struts, 앱 개발을 위한 오픈 소스 프레임워크)의 취약점을 공격했다. 이들은 에퀴팩스의 컴퓨터 네트워크를 해킹하고, 컴퓨터에 대한 무단 접속을 유지하면서 약 1억4천5백만 명의 개인정보를 입수했다.

아파치 스트러츠의 취약점이 세상에 공개된 지 며칠 되지 않아 공격자들은 에퀴팩스 시스템 수준의 명령을 실행할 수 있게 됐고, 이 과정에서 온라인 분쟁 포털이 영향을 받았다.

법무부 자료에 따르면, 공격자들은 중국과의 연결을 감추기 위해 거의 20개소 34개의 서버를 통해 트래픽을 전송했다.

에퀴팩스 마크 베거 CEO는 “우리 연방법 집행기관이 사이버 범죄에 대해 심각한 문제로 받아들여 안심이 된다”며 연방 조사기관에 감사의 뜻을 전했다.

에퀴팩스는 이 사건의 여파로 피해를 입은 고객들의 소송을 해결하기 위해 최대 7억 달러를 지급하기로 합의했다.

미국 회계 감사원(SAO)의 2018년 보고서에 따르면 에퀴팩스의 보안 시스템은 사이버 공격자들이 수많은 데이터 베이스에 쿼리(삽입, 수정, 삭제, 조회)를 전송해 개인 식별 정보를 빼가는 동안 아무런 반응을 하지 않았다. 심지어 몇몇 쿼리에 대해서는 데이터베이스가 반응을 해 식별 정보를 되돌려 주기까지 했다.

SAO는 9천여 개의 비승인 쿼리들이 탐지 없이 일어난 건 데이터베이스 요청에 제한이 설정돼 있지 않았음을 뜻한다고 지적했다.

1억 명이 넘는 소비자 피해를 준 이 사건의 논란은 당시 최고경영자 리처드 스미스의 사임과 의회 청문회로 이어졌다. 청문회에서는 회사의 위반 사례와 사이버 보안 관행에 대해 폭로하는 데 초점이 맞춰졌다.

미 상원 정보위원회 소속 벤 사세(공화) 의원은 10일 성명을 통해 해킹에 대한 중국 정권의 책임을 추궁했다. 그는 “중국 공산당은 미국 데이터를 훔치고 착취하려는 노력에 모든 수단을 동원할 것”이라며 “이러한 기소는 좋은 소식이지만, 우리는 중국 공산당의 영향력 행사로부터 미국인들의 데이터를 보호하기 위해 더 많은 일을 해야 한다”고 말했다.

바 장관은 에퀴팩스 해킹 사건은 미국인의 민감한 개인 정보를 빼내려는 중국 정권의 일련의 행킹 작전 중 하나라고 언급했다.

2014년 연방 직원의 기록을 약 2300만 건 도용한 미 연방 인사 관리국(OPM) 해킹, 최대 5억 명의 고객의 개인 정보를 폭로한 2014년 매리어트 호텔 해킹, 약 8천만 명의 사람들에 대한 데이터가 포함된 컴퓨터 시스템에 영향을 미쳤던 2015년 미국 보험회사 앤섬 침입 등의 사건들이 선례다.

바 장관은 기자회견에서 “이 자료는 경제적 가치를 가지고 있으며, 이러한 절도 행위는 중국의 인공지능 도구 개발뿐 아니라 정보를 목표로 하는 패키지 생성에 도움이 될 수 있다”고 말했다.

인사관리국 데이터 침해는 미국 정부의 보안 허가를 위해 신청자들이 제출한 개인 정보를 도난한 사건이다. 해커는 이름과 사회보장번호, 2200만 명이 넘는 넘는 전·현직 직원 및 채용 후보자를 포함해 약 2200만 명의 이름과 사회보장번호와 560만 명의 지문을 훔쳤다.

본지는 이전 보도에서 중국 정권이 인사관리국 및 다른 곳을 침투해 훔친 정보를 바탕으로 미국인에 대한 대규모 데이터베이스를 구축하는 데 사용하고 있으며, 정치 및 경제 스파이 목적으로 사용하고 있다고 밝힌 바 있다.

중국 정권이 지원하는 해커들은 또한 무역 비밀을 훔치기 위해 외국기업을 대상으로 삼고 있다고 바 장관은 지적했다.

2019년 12월 법무부는 미국 정부 기관과 미국 외 적어도 12개국의 민간 기업을 대상으로 광범위한 해킹을 벌인 혐의로 중국 최고 정보 기관 국가안전보위부 소속 중국인 두 명을 기소했다.