“사이버공격은 중국 공산당 핵심 도구” 글로벌 사이버 보안기업 발표

최창근
2023년 03월 2일 오후 4:50 업데이트: 2023년 03월 2일 오후 4:54

중국 공산당과 연계된 것으로 추정되는 사이버 공격이 지난 2022년 급증했다는 분석이 나왔다.

미국 텍사스주 소재 사이버보안 기업 ‘크라우드스트라이크(Crowdstrike)’는 2월 28일, ‘2023년 글로벌 위협 보고서’를 발간했다. 보고서에서는 ▲ID 기반 공격 증가 ▲클라우드 활용 공격 증가 ▲중국 연계 스파이 활동 증가 ▲패치로 보완된 취약점을 다시 무기화하는 공격 증가 등의 동향이 확인됐다고 밝혔다.

크라운스트라이크가 주목한 것은 중국 연계 해커이다. 중국 관련 해커와 이들이 운용하는 유사한 TTP(전술·기술·절차) 운용자들이 전 세계 20개국의 39개 글로벌 산업 분야를 대상으로 공격을 감행한 사실이 확인됐다.

공격 대상은 정부기관, 금융 시스템, 통신 시스템, 헬스케어, 항공우주 분야, 국방, 원자력, 에너지, 일반 제조업, NGO(비정부기구), 법률, 미디어 등 제(諸) 분야를 망라한다.

해커들은 전략정보 수집, 지식재산권 침해, 중국 공산당의 핵심 정보 목표 감시를 목적으로 공격한 것으로 추정됐다.

크라우드스트라이크는 “중국과 인접한 국가 정부 영역을 대상으로 한 공격은 중국 연계 공격자들의 임무가 무엇인지를 여실히 보여준다. 기술 기업들은 연구개발 데이터나 독점 정보, 영업비밀과 관련해 지속적으로 경제 스파이 활동의 위협에 처해있다. 통신사들은 외국 통신사 인프라로의 직접 접속을 통한 정보수집 및 감시에 악용될 수 있다.”고 지적했다.

중국 연계 사이버 침해 대상 중 2/3가 동아시아, 동남아시아, 중앙아시아 지역 정부기관 혹은 기술·통신 등 민간기업이었다.

크라우드스트라이크는 중국 외 러시아, 이란, 북한 등에서도 국가 연계 사이버공격이 자행되고 있다고 지적했다.

러시아에서는 우크라이나 침공과 연계한 사이버 공격이 주로 자행되고 있고, 이란에서는 랜섬웨어를 활용한 공격이 주로 진행된다. 북한에서는 비트코인 등 가상자산을 탈취하기 위한 공격이 주로 자행되는 것으로 분석됐다.

크라우드스트라이크는 보고서를 통해 “2022년 확인된 대부분의 표적 침입활동은 러시아의 우크라이나 침공에 따른 사이버 작전을 감안하더라도 전통적인 스파이 활동의 동기에 따른 것으로 파악됐다. 국가권력의 도구로서 악의적인 사이버 활동은 정보작전에서 가장 효과적이라는 현실을 보여준다.”고 지적했다.

또 “러시아, 이란 국가 연계 공격은 올해도 지속될 것이고, 북한도 통화 탈취와 연계한 활동을 이어갈 것이며, 사이버 스파이 활동이 중국 공산당의 전략적·경제적 야망을 뒷받침하는 핵심 도구로 남아 있는 한 중국 연계 침해 행위도 줄어들 가능성이 낮다.”고 평가했다.

크라우드스트라이크가 보고서에서 지적한 것은 ‘지능형 지속 공격(Advanced Persistent Threat・APT)’이다. 중국은 인민해방군과 국무원 국가안전부 산하에 약 40개의 APT조직을 운영하는 것으로 알려졌다.

각 APT는 공격 영역, 지역별로 다시 세부 조직, 팀으로 구성된다. 이들은 악성 코드와 같은 공격무기(소프트웨어 코드 등)를 중앙에서 공급받아 공유하고는 있으나 각기 다른 형태의 위장 기업으로 다시 나뉜다.

APT의 집중 공격 대상은 미국, 영국, 일본, 한국, 인도, 유럽 선진국 등 13개국에 걸쳐있는 15개 국가 기술 선진 기업과 정부 기관 등이다. 현재 이 조직의 핵심 인물들은 미국 법무부에 의해 전 세계에 지명수배령이 내려진 상태이다.