해커 “상하이 공안국 해킹, 중국인 10억명 개인정보 팔겠다”

강우찬
2022년 07월 6일 오후 3:09 업데이트: 2022년 07월 6일 오후 5:15

해커 포럼에 판매 게시글, 중국 온라인서 논란
25만건 ‘미리보기’ 공개…전문가 “내부자 소행 가능성도”
RFA “상하이 공안국, 보안 취약한 알리바바 클라우드 사용”

중국인 10억 명의 개인정보를 해킹했다고 주장하는 해커가 관련 데이터를 매물로 내놔 논란이 일고 있다. 상하이 공안국에서 유출된 것으로 알려진 이 데이터가 진짜라면 중국 역사상 최대의 데이터 유출 사건으로 기록될 전망이다.

‘차이나댄(ChinaDan)’이라는 해커는 지난주 해커포럼인 ‘브리치 포럼스’에 중국인 10억 명의 개인정보를 판매한다는 글을 올렸다. 데이터 규모는 23테라바이트(TB), 가격은 비트코인 10개로 매겼다. 현 시세로 약 2억6천만 원이다.

이 해커는 해당 데이터에 대해 “올해 상하이 공안국 데이터베이스에서 유출됐다”며 중국인 10억 명의 이름, 성별, 주소, 출생지, 신분증번호, 휴대전화번호는 물론 인터넷 쇼핑 결제 기록, 개인의 정치적 성향, 은행신용 거래 내역, 개인 사진 등의 정보까지 담겼다고 주장했다.

또한 상하이뿐만 아니라 중국 여러 도시에 걸쳐 접수된 경찰 신고 내역, 신고자 이름 및 전화번호, 자세한 신고 내용 등 수십억 건의 범죄 및 사건 기록도 포함됐다고 밝혔다. 다만, 2010~2016년 사이에 기록된 자료들이다.

상하이 공안당국은 5일까지 이 사건에 대해 공식 입장을 발표하지 않고 있다.

하지만 당국은 은밀히 움직이는 모습이다. 중국 인터넷과 소셜미디어에서는 ‘정보유출(信息泄露)’이라는 해시태그가 삭제됐다. ‘상하이 정부기관 데이터 유출 의혹’, ‘중국인 10억 명 데이터 20만 달러에 매물로’ 등의 게시물도 제거됐다.

앞서 지난달 30일에는 ‘차이나댄’이라는 이용자가 네트워크 보안 포럼에 상하이 공안국 서버가 뚫렸다는 글을 올렸다는 글이 중국 지식공유 사이트인 즈후에 올랐다가 곧 삭제된 바 있다.

이 사건 내부 소식을 일부 파악하고 있다는 창(常)모씨는 미 RFA에 “유출된 데이터는 진짜일 것”이라고 말했다.

창씨는 상하이 공안국이 중국 알리바바 클라우드 서버를 사용하고 있었으며, 알리바바 클라우드는 보안 취약점이 있었다고 전했다.

그는 “아마 유출은 작년에 됐을 것”이라며 지난해 8월 비리 혐의로 낙마한 상하이 공안국장 궁다오안(龔道安)이 이번 사건과 관련됐을 수 있다고 주장했다. 궁다오안은 알리바바 클라우드 사용을 지지한 인물이다.

해킹 전문가들은 판매 게시글에서 밝힌 데이터 출처 정보를 분석해, 데이터가 유출된 서버가 물리적으로 인터넷과 격리된 서버이며 알리바바가 제공하는 사설 클라우드 서버로 보인다고 전했다.

해커 포럼인 ‘브리치 포럼스’에 게시된 상하이 공안국 데이터 베이스 유출 파일 판매 게시글. 상하이 공안국 관련 서버 주소 등이 보인다(노란색 네모 안). | 화면 캡처

이번 데이터 판매 의사를 밝힌 해커 차이나댄은 10억 명의 개인정보 가운데 25만 건을 무작위로 추출해 공개했다. 데이터의 진위를 입증하기 위해 일부만 ‘미리보기’로 보여준 셈이다.

이를 분석한 인구통계 전문가 이푸셴(易富賢) 미국 위스콘신 의대 연구원은 4일 자신의 트위터에 “25만 명의 데이터는 완전히 무작위”라며 “4775개의 서로 무관한 지역을 확인했다”고 밝혔다.

중국 인구문제를 장기간 분석해온 이푸셴 연구원은 공개된 데이터에 인구 수천~10만 명 수준의 소도시까지 포함됐다며 외부에 알려지지 않은 실질적인 인구 데이터를 얻을 수 있었다고 평가했다.

베이징 법조계 출신으로 현재 캐나다에서 활동 중인 중국 비평가 라이젠핑(賴建平)은 해당 데이터를 분석해봤지만 “데이터에 빠진 부분이 많아 진위를 확인하긴 어려웠다”고 말했다.

그러면서도 “일부 데이터는 확실히 경찰 내부 데이터로 추정된다”며 “외부 해커의 소행이 아니라 내부자의 소행일 가능성도 배제할 수 없다”고 했다.

라이젠핑은 “이 소식을 전하는 게시물에는 중국 인터넷 댓글부대가 작성한 것으로 보이는 댓글들이 즉각 달리는 것을 볼 수 있었다”며 “이 같은 반응은 해당 데이터의 진실성을 일부분 뒷받침하는 것”이라고 덧붙였다.

시사평론가 리앙(李昂)은 올가을 중국 공산당의 차기 지도부를 확정 짓는 공산당 20차 당대회를 앞둔 시점에서 대규모 데이터 유출이 이슈화된 것은 정치적 의도가 담긴 사건이라고 분석했다.

그는 “해커들은 이미 데이터를 확보한 상태에서 공개 시기를 선택했다”며 “우연이라고 생각하지 않는다”고 말했다.