미국 보안전문 업체, 오랫동안 추적해온 중국 해커부대 정체 밝혀 

[보안뉴스= 조지 커츠 크라우드스크라이크 대표] 지난 5월 미국 사법부는 중국 해커부대 5곳을 미국 기업들의 경제 활동을 저해하는 사이버 스파이 행위로 고발했다.

고발당한 해커들은 중국인민해방군 61398부대의 장교들로 보이며 중국 정부는 이에 대해 터무니없는 중상이며 날조된 사실이라고 반박했다. 또한 “중국정부와 중국군대, 그리고 관련된 모든 사람들은 단 한 번도 업무상 비밀을 훔치는 등의 사이버범죄를 저지른 적이 없다”고 선언했다.

하지만 미디어를 통해 오고 가는 정보들은 전부 빙산의 일각일 뿐이다. 물론 중국정부뿐 아니라 어느 정부나 TV 카메라나 신문지 지면에 대고는 범죄 사실을 부정해야 할 것이다. 그런 입장을 이해 못하는 것은 아니다. 그러나  “단 한번도 하지 않았다”고 당당히 밝힌 건 너무 뻔뻔했다. 그리고 이번엔 단 한 번도 범죄를 저지르지 않은 중국정부의 행위를 현장에서 제대로 잡아냈다.

우리 크라우드스트라이크(CrowdStrike)의 목표는 정부급의 정보를 대중들에게 풀어놓는 것이다. 그렇기 때문에 ‘가짜 도메인 이름이 판을 치고 우회 IP 투성이 세상에서 범인을 정확하게 찾아내는 것이 가능한가?’라는 질문을 자주 받는다. 가능하다. 물론 해커를 추적해 찾아낸다는 게 처음부터 끝까지 과학적이기만 할 수는 없다. 하지만 누가 왜 공격을 감행했는지 상당히 정확하게 알아낼 수 있다. 그렇기 때문에 첸 핑(Chen Ping)이라는 인물과 중국인민해방군 제3총참모부의 깊은 연관성 또한 우리는 자신 있게 발표할 수 있었다.

왜 대중에게 발표했나?

61486 부대에 대한 퍼터 팬다(Putter Pander) 보고서는 한 번에 작성된 것이 아니다. 이전부터 크라우드스트라이크에서 운영하는 보고서 라이브러리에 있어 왔고 크라우드스크라이크 인텔리전스(CrowdStrike Intelligence)를 구독하는 독자들에겐 피드로 한동안 제공되어 왔다. 그렇다면 왜 하필 지금 일부 독자가 아닌 전체 대중에게 이를 공개하는가를 묻고 싶을 것이다.

사고대응 조사를 진행하다 보면 대규모 유출 흔적을 접하게 될 수밖에 없고, 그런 일을 하다 보니 수면 밑에서 일어나고 있는 일들을 제일 먼저 알게 된다. 어마어마한 양의 지적재산이 어디론가 빠져나가고 있는 것이 현실인데, 들리는 소식이라고는 “우리는 안 그랬다. 모르는 일이다. 관심이 없다” 뿐이다. 기업체의 회장이나 임원진들 대부분은 이렇게 물밑에서 일어나는 일에 대해 별 관심이 없다. 우리에게 바람이 있다면 경찰들이 배포하는 지명수배자 명단에 이런 해커들의 사진도 올라가는 것이다. 그런 의미에서 이번 보고서를 배포했다.

보고서의 의의

현실이 워낙 그렇다보니 이번 보고서를 보고도 “그래서? 이게 나한테 무슨 상관인가?”라고 생각하는 사람이 많을 것으로 보인다. 이런 종류의 공격이 왜 일어나는지를 크게 두 가지로 설명하겠다. 먼저 나와 적대적인 혹은 경쟁관계에 있는 쪽에서 중요한 정보를 몰래 빼돌리는 행위는 지난 수천 년 동안 일어났던 일이다. 현대에 와서 이게 컴퓨터와 인터넷, 네트워크 등으로 미디어만 바뀌었을 뿐이다. 해킹이라는 것이 어제 오늘 생긴 신종 범죄가 아니라는 것이다.

이런 중요한 정보 중에는 정부의 군대 운용에 관한 것도 포함된다. 국제 정치에서 나라의 입지, 더 나아가 흥망성쇠가 걸린 문제인 것이다. 물론 이 문제에서 만큼은 중국에게만 책임이 있는 건 아니다.

둘째로 중국은 이렇게 지적재산을 대량으로 빼감으로써 새로운 기술을 개발해 시장에 내놓을 때까지 어마어마한 시간과 돈을 절약할 수 있게 된다. 미국 기업인들은 특히나 이 점에 주목해야 한다. 중국정부는 꽤나 많은 미국 회사의 지분을 가지고 있기 때문이다. 이런 중국이 대단히 중요한 정보를 훔쳐간다면 자국의 회사들에게 이 정보를 넘겨주어 상업적으로 유리한 고지를 선점할 수 있게 될 것이다.

보고서 실전 사용

회사의 보안을 담당하는 사람이 이 보고서를 접했다고 하자. 그리고 상사가 와서 이 보고서를 어떻게 활용할 것이라고 묻는다고 하자. 그저 “중국의 이러이러한 인물들이 이러저러한 사건의 용의자랍니다”라고 답할 것인가? 이 보고서에는 기업체나 단체에서 퍼터 팬더 감염을 진단하거나 찾아낼 수 있는 다양한 기술적인 분석과 방법들이 20페이지에 걸쳐 나온다. 또한 네트워크와 멀웨어의 특징들을 스노트(Snort)와 야라(Yara) 방식으로 정리하기도 했다. 크라우드스트라이크에서 제공하는 무료 툴인 크라우드리스폰스(CrowdResponse)를 사용해 야라를 곧바로 피드하면 네트워크에 문제가 있는지 살필 수 있으며, 이는 보안담당자 입장에서 상사에게 제공할 수 있는 최고의 답이다.

물론 범인 색출도 중요하다. 용의자라도 찾아내야 정부가 국제적인 혹은 정치적인 조치를 취해 상대 정부나 해커에게 압력을 가할 수 있다. 그리고 우리 회사에 피해를 주는 자가 누군지 파악할 수 있다. 위성이나 항공산업 쪽 종사자라면 이 보고서를 정독해볼 것을 권한다.

아직 이런 종류의 공격을 받지 않았다면 이제 공격받을 가능성이 더 높아졌다는 것이다. 혹시 퍼터 팬더를 발견했다면 어떻게 해야 할까? 복원 혹은 수정 방법을 찾거나 프로그램을 사용할 수 있다. 정보의 운용이란 공격에 즉각 대응하는 능력을 기르는 것뿐 아니라 기술적인 지표가 같이 있는 범인에 대한 추적보고서로 알맞게 활용할 수 있다는 것을 말한다.

이 보고서로 인해 변화가 일어날 것인가?

보고서가 발표됨으로 인해 좋은 일들이 다수 일어날 것은 분명하다고 본다. 그렇다고 첸 핑이 미국 법정에 서게 될까? 그건 아니다. 하지만 보안문제의 초점이 중국으로 옮겨짐으로써 기업들이 국제경제 무대에서 이런 이야기를 대범하게 할 수 있을 것이다. 불과 수년 전만 해도 보안담당자들 사이에서 중국 해커들에 대한 소문은 귓속말로만 전파됐다는 사실을 기억하자.

그러므로 이번 보고서 발표는 ‘드러냄’에 그 의의가 있다기보다 보안의식의 성숙화에 더 비중을 두고 있다. 그래서 보고서 내용은 전혀 새로울 것이 없는, 이미 보안 쪽 커뮤니티에선 수없이 회자된 이야기의 연장선에 놓여있을 뿐이다. ‘보안문화’가 더 넓게 확산되기를 바란다. 그렇다고 악성 해커들이 소탕될 것인가? 그렇지는 않을 것이다. 불만 꺼지면 사그락 사그락 움직이는 바퀴벌레들처럼 말이다. 지금은 불부터 밝힐 때다.

ⓒDARKReading

[글_조지 커츠(George Kurtz) 크라우드스트라이크 대표]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>