시진핑 주석의 “최고 중국” 선언과 관련이 있는 듯한 움직임
이전과 다르게 고도의 표적 공격...이유 알 수 없는 디도스 공격 하기도

[보안뉴스 문가용 기자] 10월부터 11월까지 서양 국가의 싱크탱크 네 곳과 비정부 조직 두 곳이 중국 사이버 해킹 그룹의 집중적인 공격 대상이 된 것으로 나타났다. 이에 대해 보안 업체 크라우드스트라이크(CrowdStrike)가 자사 블로그를 통해 발표했다.


크라우드스트라이크에 따르면 중국의 해커들이 노린 것은 중국 경제 혹은 경제 관련 정책을 연구하는 서양의 전문가라고 한다. 그 외에 국방과 국제 금융 관련 문제, 미중 관계, 사이버 거버넌스, 민주주의 선거 제도와 관련된 전문가들도 주요 공격 대상이 됐다. 특히 이 전문가들의 통신을 중간에 가로채는 공격을 주로 실시했으며, 독특하게 디도스 공격도 감행했다.

“공격자들은 주로 차이나 초퍼(China Chopper)라는 웹셸을 사용해 감시 활동을 진행했으며, 네트워크 내 횡적인 움직임을 통해 크리덴셜을 훔쳐내기도 했습니다. 크리덴셜을 훔칠 땐 미미캐츠(Mimikatz)라는 툴 등을 활용했습니다.”

중국이 서양 세계에 대한 정찰 및 정보 탈취 활동을 벌여온 건 ‘익숙한 일’이기도 하고 ‘엉뚱한 일’이기도 하다. 중국은 원래부터 각종 국방 및 지적 재산을 미국과 유럽의 단체로부터 훔치다가 보안 전문가들에게 덜미를 잡힌 바 있다. 다만 최근 몇 개월은 동남아시아를 주요 공격 대상으로 삼는 바람에 서양에 대한 공격이 줄어드는 추세였다.

크라우드스트라이크는 “이전에는 싱크탱크를 노릴 때라도 표적형 공격 기법을 사용하는 사례는 드물었다”며 “대량으로 살포해 운 나쁘게 걸리는 사람이나 기관을 해킹하는 방식을 진화시킨 것으로 보인다”고 설명한다.

다시 돌아온 중국의 스파이들은 디도스 공격이라는 새로운 전략을 들고 오기도 했다. 감시와 관찰을 주 목적으로 하는 ‘스파잉 공격’에 디도스 공격을 활용한다는 건 논리적으로도 이상하고, 사례도 극히 드물다. 중국의 스파잉 그룹은 적어도 아직까지 공개된 바로는 디도스 공격을 스파이 활동에 활용한 적이 없다.

그렇다면 왜 디도스 공격을 실시한 것일까? “표적 삼은 공격 대상의 웹 서버를 침해하기 위해서였습니다. 이 표적은 국방 관련 연구 프로젝트를 진행하고 있었고, 이 연구를 방해해야 한다는 목표가 새롭게 어디로부턴가 하달된 것이 아닐까 합니다. 물론 처음부터 디도스 공격을 사용한 건 아닙니다. 여러 차례 다른 침해 공격을 실시했고, 이것이 계속 막히자 디도스를 사용한 겁니다.”

하지만 이는 추측일 뿐이다. 크라우드스트라이크도 이 ‘디도스 공격’에 대한 정확한 이유가 궁금하긴 마찬가지다. “디도스 공격 이전에 계속된 실패가 있었다는 걸 감안하면, 홧김에 짜증나서 복수를 한 건 아닐까 싶기도 합니다.”

크라우드스트라이크는 “이것이 예견된 일이었다”고 설명한다. “시진핑 주석이 얼마 전 중국의 부국강병을 선언한 바 있었죠. 세계적인 영향력을 뻗치는 국가로 키워내겠다는 국가 최고 지도자의 비전을 이루기 위해서라면 뭐든지 해야 하는 국가 지원 해커들이 다시 한 번 나타날 것을 예상했어야 합니다. 사이버전은 국제 사회에서의 사건들과 늘 관련이 있습니다.”

그러므로 크라우드스트라이크는 “앞으로 비슷한 기관들을 겨냥한 중국의 사이버 공격이 계속해서 증가할 것”이라고 예상하고 있다. “중국은 이전에도 국가 발전을 꾀한다는 선포를 한 후에 사이버 공격을 증가시킨 전적이 있습니다. 이런 국가 단위의 ‘행동 패턴’을 기억하는 것도 보안에 도움이 될 것으로 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>