"중국 연계 해커들, 미국 정보기관에 '스텔스'처럼 침투했다"

구글 자회사 사이버 보안업체, 1년간 분석결과 공개
"매우 정교한 신기술로 해킹 공격... 탐지도 힘들어"

해커를 형상화한 이미지. 게티이미지 뱅크

중국 연계 해커 그룹이 미국 정부기관과 민간기업 등의 네트워크에 몰래 침투해 수년간 염탐해 왔다는 분석이 나왔다. 보안 담당 부서의 탐지를 피할 수 있는 독창적이고 정교한 신기술로 해당 기관 또는 기업의 정보를 빼내거나 사이버 공격을 시도했던 것으로 나타났다.

16일(현지시간) 미국 월스트리트저널(WSJ)에 따르면, 구글이 인수한 사이버보안 전문업체 ‘맨디언트’는 최근 1년 동안 미 정부기관과 방위산업체, 기술ㆍ통신 기업들이 받았던 해킹 공격 사례를 공개했다. 현재로선 공격 세력이 누구인지 확실치 않지만, △중국 해커들만 사용했던 악성코드 식별 △해킹 피해자 명단 △새로운 해킹 기술의 높은 수준 등에 비춰 중국 정부와 연관된 해커 그룹으로 추정된다는 게 맨디언트의 설명이다.

눈에 띄는 건 이들의 해킹 공격 양상이 통상적인 사이버 스파이 활동처럼 기업 방화벽 너머의 시스템에 침투하는 것과는 달랐다는 점이다. 네트워크 주변 장치나 방화벽 자체를 훼손한 것은 물론, VM웨어와 시트릭스시스템즈 등 컴퓨터 가상화ㆍ클라우드 컴퓨팅 업체에서 구축한 소프트웨어들이 주요 타깃이었다고 한다. 바이러스 백신이나 인터넷 단말기 침입 탐지 기능을 포함하지 않는 컴퓨터에서 주로 실행되는 소프트웨어를 겨냥했다는 것이다.

특히 과거엔 발견되지 않았던 소프트웨어의 결함을 이용한 것으로 파악됐다. 예컨대 사이버 보안업체인 소닉월의 소프트웨어에서 이전에 패치된 버그가 해킹 공격에 활용됐고, 소프트웨어 업데이트 후에도 장치 접근을 계속 유지할 수 있는 시스템도 갖춘 것으로 파악됐다. 맨디언트는 “흔치 않은 기술로, 새로운 수준의 독창성과 정교함을 보여주는 것”이라고 짚었다.

이번에 확인된 해킹 공격 피해자는 일단 수십 곳 정도다. 그러나 해커들이 이들한테서 빼낸 데이터의 중요도를 감안하면 피해 규모는 적지 않다고 맨디언트는 밝혔다. 게다가 해킹 전술이 매우 은밀했다는 점에서, 미국이나 서방의 목표물에 대한 중국 해커 그룹의 침투가 당초 알려진 것보다 훨씬 더 광범위하게 이뤄지고 있을 수도 있다고 덧붙였다.

찰스 카마칼 맨디언트 최고기술경영자(CTO)는 “우리의 추적 기술로도 이 같은 사이버 공격을 탐지해 내기란 매우 힘들다. 피해자들이 직접 침입을 발견하는 건 더욱더 어렵다”고 말했다. WSJ는 “최근 미국 영공에서 발견된 중국 정찰풍선 등으로 중국의 스파이 활동에 대한 경계심이 커진 가운데, 중국 연계 의심 해커 그룹의 새로운 공격 사례가 나온 것”이라고 전했다. 이와 관련한 질의에 주미 중국대사관은 답변하지 않았다고 신문은 부연했다.

김정우 기자 wookim@hankookilbo.com