| 남중국해 연안 국가 감시해온 나이콘의 한 남자 | 2015.09.25 | |||
최소 5년 동안 스파이 활동한 나이콘, 정체는 인민해방군 C&C 서버의 주인, 같은 이름으로 소셜 미디어 활동 활발 [보안뉴스 문가용] 오바마와 시진핑의 회담에 한 가지 주제가 더 생긴 듯 하다. 미국의 보안 전문가들이 바로 어제 아시아 정부들과 UN을 겨냥해 다양한 사이버 스파이 작전을 감행하고 있는 해커 단체를 발견했는데, 이 단체가 중국의 인민해방군과 밀접한 관계를 가지고 있다고 주장했기 때문이다.
보안 전문업체인 쓰레트커넥트(ThreatConnect)와 디펜스그룹(Defense Group Inc.)은 어제 중국 인민해방군의 78020 부대와 관련된 새로운 연구 결과를 발표했다. 캄보디아, 인도네시아, 라오스, 말레이시아, 미얀마, 네팔, 필리핀, 싱가포르, 태국, 베트남, UN 개발 프로그램, 아세안 등 아시아 국가들을 주로 감시해온 APT 단체인 나이콘(Naikon)이 바로 이 78020부대와 관련이 있다는 것. 나이콘의 스파이 행위는 5년 동안 지속됐으며 위에 언급한 지역 내에서 주요 인물과 조직을 표적 삼아 정보를 수집했다. 왜? 바로 지금도 중국의 대표 외교 분쟁 지역인 남중국해를 전략적으로 차지하기 위해서였다. 중국은 석유 매장량이 풍부하고 전략적으로 요충지인 남중국해에 인공섬을 건조하는 등 야욕을 부려 최근까지 여러 국가들과 마찰을 빚고 있다. 즉, 현재 일촉즉발의 외교상황 속에서 중국은 원하는 바를 이루기 위한 물밑 작업을 계속해서 진행하고 있었고, 그 핵심이 나이콘이라는 조직이었다는 것이다. 즉 인민해방군의 개입이 충분히 가능한 상황이라는 것인데, 비단 이 때문에 인민해방군와의 관계를 의심하는 것만은 아니다. 인민해방군의 주요 인물 중 하나인 거 싱(Ge Xing)이 발견되면서 이 보고서의 핵심골자에 대한 보다 확실한 증거가 드러난 것이다. 거 싱이라는 이름과 주요 활동지역인 쿤밍은 이러한 사이버 공격을 하는 데 주로 사용되었던 C&C 도메인과 연관성이 있다. 해당 도메인의 이름은 greensky27.vicp.net인데 여기에 나이콘의 멀웨어가 발견되었고, 도메인 소유주인 GreenSky27을 추적한 결과 거 싱이란 인물이 드러났다고 한다. 사이버 공격 및 스파이 행위는 현재 시진핑과 오바마 사이에서 가장 무겁고 심각하게 다뤄지고 있는 주제라고 알려져 있다. 미국은 중국에 의해 정보 탈취는 물론 경제적 손실도 상당히 입었다고 주장하고 있으며 2014년에는 인민해방군 장교 5명을 기소한 바 있다. 하지만 나이콘에 대한 이야기가 나올 것이라는 보장은 없다. 일단 중국의 행위가 맞는다 한들 ‘미국’과 직접적인 연관이 없다. 물론 남중국해 이슈에 미국도 공식적으로 우려를 표명해오고 있지만 미국이 직접 연루된 문제가 아니기 때문에 선뜻 이야기 꺼내는 게 ‘오지랖’으로 보일 수도 있다. 게다가 시진핑 주석은 이번 방문 내내 ‘중국은 미국에 정보 탈취 범죄를 저지른 적이 없다’고 하고 있다. 한편 쓰레트커넥트와 디펜스그룹의 전문가들은 계속해서 이 거 싱이란 인물을 쫓았다. 그리고 여러 개의 소셜 미디어 서비스에서 GreenSky27이란 이름을 사용하고 있는 계정주인을 발견했다. 사진 속 인물들도 겹쳤고, 심지어 군 부대 내에서 찍은 사진도 있었다. 그런 식으로 정보를 취합해 들어가자 그에 대한 여러 가지 내용들이 속속 나왔다. 거 싱은 인민해방군에 소속된 장교로 특히 남중국해 정치에 일가견이 있는 인물이었다. 관련하여 온라인에 학술보고서를 발표하기도 하였다. 그 보고서에 따르면 인민해방군은 7개 군사 지역에 걸쳐 활동하고 있으며 각 지역마다 독립적인 정찰국을 운영하고 있었다. “거 싱이 직접 키보드 앞에서 해킹을 했을 확률은 없습니다. 오히려 지정학적인 지식으로 해킹 기술자들을 돕거나 가이드했을 겁니다. 나온 정보를 분석하고요.” 디펜스그룹의 전문가인 조나단 레이(Jonathan Ray)의 설명이다. 추가적으로 거 싱을 추적한 결과 그가 동남아시아 정치학 석사과정을 마쳤으며 인민해방군 내에서 중위급 정도 된다는 걸 알아낼 수 있었다. 국가에서 직접 진두지휘하는 사이버 스파이 행위의 전모를 단 한 사람을 추적하여 밝혀낸다는 건 모험에 가까운 일이다. 하지만 이번 만큼은 그런 위험이 적다고 쓰레트커넥트는 확신하고 있다. “거 싱이라는 이름 자체가 본명입니다. 저희가 밝혀낸 것들이 가짜 정보이거나 미끼일 확률은 제로에 가깝습니다. 일단 이 인물이 미끼라면 저희가 이를 물었을 때 생기는 결과가 발생해야 하는데, 이번엔 그렇지 않았습니다. 이번 보고서를 통해 밝힌 내용이 잘못된 정보일 수 있다는 우려만 잘못된 정보라고 확언합니다.” 쓰레트커넥트의 수석 첩보 사무관인 리치 바거(Rich Barger)의 설명이다. 거 싱의 역할과 위치 등을 추적하는 동안 전문가들은 인민해방군 내에서 정찰 활동이 어떤 식으로 이루어지는지 알아낼 수 있었다. “일단 기술력 좋은 정찰국이 부대별로 존재한다는 것과 이들의 표적이 미국만이 아님을 알아낼 수 있었죠. 아니, 오히려 세계 전체의 문제라고도 볼 수 있는 증거를 확보한 셈입니다. 또, 남중국해 연안의 나라들과 미국의 경제관계를 생각해봤을 때 남중국해가 미국과 물리적으로 떨어져 있는 곳이더라도 ‘미국 문제’라고 볼 여지가 충분히 있습니다.” 사실 나이콘의 스파이 작전 자체가 발견된 게 이번이 처음 있는 일은 아니다. 이미 해당 국가들에게서 수상한 활동이 감지된 건 한참 전의 일이고 여러 보안 업체에서 이 조직의 뒤를 은밀히 쫓아왔다. 카스퍼스키, 쉐도우서버(Shadowserver), 트렌드마이크로 등도 이들에 대한 문서를 차곡차곡 쌓아왔다. 카스퍼스키는 나이콘이 또 다른 APT 해커 그룹을 공격하는 걸 발견해 보도한 적도 있다. 그것이 지난 6월의 일이었다.
이번 발견이 미국 문제가 아니라 직접 언급하기 힘들다 하더라도, 최소 시진핑의 ‘모르쇠’를 멈추게 할 수는 없는 걸까. “일단 문제 자체로 중국의 사이버 범죄 행위들을 화두에 올려놓고, 유리한 고지를 선점할 수는 있을 겁니다. 아무리 시진핑이라지만 이번 공격에 대한 여러 자료들을 앞에 놓고는 ‘모르오’라고 할 수 없을 겁니다.” 파이어아이의 수석 보안전략 수립가인 리차드 베이틀리히(Richard Bejtlich)의 설명이다.
남중국해 문제는 국제 무역에 있어서 커다란 문제다. “미국에게 있어서도 작은 문제가 아닙니다. 해당 지역 내 군사운용이나 동맹관계, 국방의 파트너십도 그렇지만 이 지역에서 발생하는 수조 달러의 세계 무역이 크게 영향을 받을 겁니다. 세계를 떠받치고 있는 중요한 경제구조의 한 축인 셈이죠.” 보고서가 등장한 후 거 싱의 소셜 미디어 계정들은 전부 사라졌다. 그의 이름으로 되어 있던 여러 서버들은 전부 덴버 부근으로 이동하고 있다. “사실 거 싱은 나이콘이란 단체의 일부만을 드러내는 연결고리였을 뿐입니다. 거 싱이 문제의 본질이 아니었다는 것이죠. 이제 거 싱의 추적을 멈추고 나이콘 자체를 다시 추적해야 할 것입니다.” 쓰레트커넥트의 설명이다. Copyrighted 2015. UBM-Tech. 117153:0515BC [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||||
 |
