3월 4일, 미국 법무부는 중국 국적자 10명을 미국과 전 세계 정부 기관, 언론 매체, 반체제 인사들을 상대로 대규모 해킹을 감행한 혐의로 기소했다. 이들은 중국 기업 i-Soon을 대신하여 중국 정부와 계약을 맺고 해킹 활동을 한 혐의를 받고 있다. 중국 공안부 소속 공무원 2명도 “해킹 공격을 지휘한” 혐의로 기소되었다.
미국 법무부 문서에 따르면, 중국 국내 정보기관(MPS)과 해외 정보기관(국가안전부, MSS)은 민간 기업 및 국내 계약업체로 구성된 방대한 네트워크를 활용하여 해킹 및 정보 유출을 감행함으로써 중국 정부의 직접적인 개입을 은폐했다.
일부 사례에서는 중국 공안부와 국가안전부가 민간 해커에게 돈을 지불하여 특정 기관을 표적으로 삼도록 했다. 다른 많은 공격 사례에서는 추측성 공격이 있었다. 해커들은 특히 취약한 컴퓨터를 식별하고 이를 해킹하여 정보를 빼낸 후, 이 정보들을 직간접적으로 중국 정부에 판매했다.
중국 사이버 스파이 활동의 성장과 주요 활동 영역
중국 사이버 스파이 활동은 단발적 사례로 그치지 않는다. 지난 10년 동안 중국의 해킹 프로그램은 급속도로 확대되었다. 2023년 당시 FBI 국장이었던 크리스토퍼 레이는 이 프로그램의 규모가 다른 모든 강대국을 합친 것보다 크다고 밝혔다. 이러한 중국의 사이버 권력과 정교함의 증가는 정치적 간섭, 중요 인프라 파괴, 그리고 대규모 지적 재산 절도라는 세 가지 핵심 영역에서 큰 성공을 거두었다.
중국은 컴퓨터 네트워크, 전자전, 경제, 외교, 법률, 군사, 정보, 심리, 군사적 기만 자원과 보안 작전을 통합하여 다른 국가들을 약화시키고, 중국에 경제적으로 의존하게 만들며, “중국적 특색을 지닌 새로운 권위주의적 세계 질서”에 더욱 순응하도록 만든다.
이러한 이유로, 전통적인 해석과는 달리 중국 국가가 지원하는 해킹은 보다 넓은 맥락에서 이해되어야 한다. 즉, 기술, 전략적 인프라, 그리고 글로벌 공급망에 대한 중국의 통제는 1999년 저서 “무제한 전쟁”에서 두 명의 중국 인민해방군(PLA) 대령이 묘사했듯이 사이버 해킹 활동은 “초군사적” 및 “비군사적” 전쟁 작전의 일부이다. 이러한 접근 방식은 경계전(liminal warfare)으로 잘 알려져 있다. 경계전은 서구와의 경쟁과 대립의 범위가 매우 넓어 전장이 말 그대로 도처에 있는 갈등이 고조되는 상황을 의미한다.
전자전 도구로서의 사이버 스파이 행위
전자전에서 해킹은 위기나 갈등 상황에서 방해 공작을 위해 사용된다. 이러한 해킹 활동은 중국 공산당의 정규군인 중국 인민해방군(PLA)이 주도한다.
2023년, 중국 인민해방군(PLA)과 연계된 해커 집단인 “볼트 타이푼(Volt Typhoon)”이 수년 간 미국 본토와 괌과 같은 전략적 요충지에 위치한 항구, 공장, 정수 처리 시설 등 미국 내 광범위한 중요 기반 시설에 침투해 왔다는 사실이 밝혀졌다.
영국 사이버보안국 전 국장인 시아란 마틴은 “볼트 타이푼의 해킹 활동은 정치적, 잠재적으로 군사적 전략적 목적을 가진 군사 작전이다”라고 설명했다. 중국 인민해방군 사이버 부대가 지휘하는 이 작전은 미국의 중요 기반 시설에 “디지털 함정”이라고 불리는 준비 태세를 구축하는 것이 그 목표였다.
2023년 매사추세츠주 전력 회사의 운영 기술(OT) 기반 시설에 대한 민감한 데이터를 빼내기 위한 지속적인 공격 이외에, “볼트 타이푼”은 미국의 통신 시스템을 비롯한 전 세계 주요 기반 시설에 대해 여러 차례 공격을 감행해 악명을 떨쳤다. “볼차이트(Voltzite)”라는 하위 조직은 리틀턴 전력 및 수도국을 표적으로 삼았고, FBI와 사이버 보안 회사 드라고스(Dragos)는 공동으로 볼차이트의 해킹에 대응하여 이 조직의 공격과 그 대응 방안에 대한 상세 보고서를 발표했다.
사이버 스파이 행위를 통한 지적 재산권 침해
지식 재산권 침해에 가장 큰 피해를 주는 행위는 사이버 스파이 행위이다. 이러한 사이버 스파이 활동을 통해 중국 기업들은 (때로는 공산당이나 국가의 직접적인 지원을 받아) 외국 기업의 운영, 프로젝트 및 기술 관련 정보에 접근할 수 있다.
중국은 국가가 지원하고 조율하는 사이버 스파이 행위를 통해 석유, 에너지, 철강, 항공과 같은 전략적 산업 분야의 기업들로부터 정보를 훔쳐 왔다. 이러한 스파이 활동은 선진 과학 기술을 습득하고 향후 군사, 정부 또는 기술 시스템에 대한 공격에 유용한 정보를 수집하는 데 활용된다.
미국에서는 이와 관련된 수많은 사례가 있다:
• 2014년에는 중국 인민해방군 소속 해커 5명이 경제 스파이 혐의로 기소되었다.
• 2017년, 중국 기업 보유섹과 연관된 해커 3명이 기밀 비즈니스 정보를 훔친 혐의로 기소되었다.
• 2018년에는 중국 국적자 2명이 지식재산권 절도 혐의로 기소되었다.
• 2020년에는 중국 국가안전부와 연계된 해커 2명이 코로나-19 연구를 표적으로 삼은 혐의로 기소되었다.
이러한 사례 중 2018년 기소 사건은 중국의 사이버 스파이 활동에 대한 인식을 높이기 위한 미국의 광범위한 노력의 일환으로 크게 주목을 받았다. 당시 중국 해커들은 휴렛팩커드와 IBM과 같은 미국 기업체에 대한 공급망 공격을 포함하는 “클라우드 호퍼(Cloud Hopper)”라는 캠페인을 수행했다. 피고인들은 Huaying Haitai에 근무했는데 중국 국가안전부 산하 톈진 국가안전국(Tianjin State Security Bureau)과 협력해 활동했다.
2017년 미국 지식재산권 침해 위원회는 이러한 해킹 범죄로 인해 미국 경제가 연간 최대 6천억 달러의 손실을 입는다고 추산했다. 이는 미국 국방부 예산과 맞먹는 규모이며, 포춘 500대 기업 50곳의 총 이익보다 더 큰 규모이다.
미국을 넘어: 중국 사이버 스파이 활동의 글로벌 영향력
2024년 6월, 네덜란드 군사정보국(MIVD)은 중국의 사이버 스파이 활동이 기존에 추정한 것보다 훨씬 광범위하며 서방 정부와 방위 산업체에 악영향을 미치고 있다고 경고했다. 2023년 네덜란드 국방부를 겨냥한 사이버 공격으로 몇 달 만에 최소 2만 명이 피해를 입은 것으로 알려졌다.
2018년, 체코 국가사이버정보보안국(NUKIB)은 중국과 관련된 해킹 위험에 대해 경고했다. 이후 체코는 중국의 사이버 활동에 대한 대응 역량과 통제력을 강화하고 해외 정보 조작에 대응하기 위한 방안을 마련해 왔다.
미국 검찰에 따르면, 수십 명의 유럽 의원들이 중국의 공격 대상이 되었다. 2024년 3월, 미국 법무부는 중국에 비판적인 “대(對)중국 의회간 연합체(IPAC)” 사건과 관련해 “모든 유럽연합 회원국”을 공격한 혐의로 중국 국가안전부와 연계된 해커들을 기소했다. 2021년 중국 해커들은 ‘대중국 의회간 연합체’와 연결된 약 400개 계정에 1,000건 이상의 이메일을 발송하여 이 기관의 인터넷 활동과 기기를 감시하려 했다.
또한, 네덜란드의 반도체 리소그래피 분야 선두 기업인 ASML은 중국 해커들의 침투 시도가 여러 건 성공하는 등 “매년 수천 건의 보안 사고”를 겪고 있다. 벨기에의 Imec과 같은 연구 센터 또한 중국 해커들의 빈번한 공격 대상이다. 벨기에는 스파이 활동 혐의가 있는 중국 연구원들을 추방했다. 유럽 연합은 사이버 보안을 강화하고 첨단 반도체를 위험 평가 및 강화된 보안이 필요한 4대 핵심 기술 중 하나로 지정했다.
특히 APT41은 중국에 기반을 두고 중국 국가안전부와 연계된 가장 활동적이고 정교한 중국 사이버 해킹 조직 중 하나이다. 구글의 위협 인텔리전스 그룹에 따르면, APT41은 국가 스파이 활동과 랜섬웨어 공격을 결합한다. 랜섬웨어 공격은 파일을 암호화하고 복구 대가로 금전적 몸값을 요구하는 악성 프로그램이다. 이로 인해 조직원 파악이 더욱 어려워졌다.
지역별로 활동하는 중국 인민해방군 연계 조직과는 달리, APT41은 전 세계적으로 활동하며 미국, 유럽, 라틴 아메리카, 카리브해 지역의 전략적 산업을 공격한다. 특히 게임 산업에서 금전적 동기로 해킹 공격을 수행하기도 한다. 글로벌 사이버 보안 선도 기업인 맨디언트는 APT41의 기술적 역량을 높이 평가한다. APT41은 제로데이 및 n데이 취약점을 자주 악용하고 피싱, 소셜 엔지니어링, SQL 인젝션과 같은 기법을 사용한다.
2020년 이후 APT41은 20개국 이상에서 75개 이상의 기업을 대상으로 대규모 사이버 공격을 감행했다. 2018년 ASUS를 표적으로 삼아 5만 대 이상의 시스템에 영향을 미친 “섀도우해머(ShadowHammer)” 캠페인처럼 공급망을 침해한 사건도 APT41의 소행이었다. APT41은 통신 네트워크에서 “메시지탭(MESSAGETAP)” 악성코드를 사용하는 것과도 연관되어 있는 것으로 알려졌다.
사이버 스파이 활동에서 중국 대학의 역할
중국 대학들은 국가가 지원하는 사이버 스파이 활동에서 중국 인민해방군(PLA) 및 국가안전부(MSS)와 협력하고 있다. 상하이 교통대학교는 이러한 활동에서 중국군과 직접 협력하고 있다. 저장대학교와 하얼빈 공업대학은 해커 모집의 주요 거점 대학이다.
Xidian 대학교는 학생들에게 섬시성(省) 국가안전부 사무소에서 실무 경험을 제공하고 있으며, 2015년 네트워크 시스템부로 개편되기 전까지 중국 인민해방군 총참모부 제3국과 협력 관계를 유지해 왔다. 이 대학의 대학원 프로그램 중 하나는 중국 국가안전부 산하 사무소인 중국 정보기술보안평가센터(ITSEC) 광둥 사무소와 공동으로 운영되고 있으며, 이 센터는 계약직 해커들로 구성된 팀을 이끌고 있다.
남동대학교 또한 보안 기관과 긴밀한 관계를 유지하고 있으며, 중국 인민해방군 전략지원부대와 함께 “자산 연구소(Purple Mountain Lab)”를 공동 운영하고 있다. 이곳에서 연구원들은 “중요 전략적 요구 사항”, 운영 체제 및 학제간 사이버 보안 연구에 협력하고 있다. 또한 이 대학은 중국 인민해방군과 국가안전부로부터 중국의 사이버 역량을 개발하기 위한 자금을 지원받고 있다.
상하이 교통대학교의 사이버보안 학부 프로그램은 중국 인민해방군 정보공학 기지에서 진행된다. 상하이 교통대학교는 이 프로그램에서 “네트워크 및 정보 시스템 시험 및 평가, 커넥티드 스마트 네트워크 보안 시험, APT 공격 및 방어 시험, 그리고 사이버 작전 핵심 기술”을 연구한다고 밝혔다.
중국 국가안전부와 협력하여 사이버 인재를 모집하는 대학으로는 중국과학기술대학교, 상하이 교통대학교, 시안 교통대학교, 베이징이공대학교, 난징대학교, 하얼빈이공대학교 등이 있다. 또한, 베이징 탑섹(Beijing TopSec)과 같은 일부 사이버보안 회사들은 중국 인민해방군과 협력하여 해킹 캠페인, 운영자 교육, 그리고 미래 해커 육성에 힘쓰고 있다.
