‘스캐럽(Scarab)’, ‘무스탕 팬더(Mustang Panda)’. 중국과 연계된 해커집단의 이름들이다. 이들은 각국의 군사 기밀이나 기술 정보를 빼내려는 중국의 광범위한 첩보활동에 활용되고 있다. 이 명단에 다른 중국의 해커집단인 레드알파(Redalpha)’가 이름을 올렸다. 2015년부터 지금까지 활동중인 것으로 조사됐다.
[관련 기사]중국이 러시아 군사기술 훔치려 사이버 첩보활동
다국적 보안회사인 ‘레코디드 퓨처(Recorded Future)’가 17일 레드알파라는 해커 그룹이 여러 나라의 정부 기관과 인권단체, 씽크 탱크, 뉴스 매체 등에 대해 사이버 스파이 활동을 한 단서를 잡았다는 내용의 보고서를 발표했다.
보고서에 따르면 레드알파는 2015년부터 대만의 미국 대사관격인 ‘대만 미국협회(the American Institute in Taiwan)’를 비롯해 국제사면위원회(Amnesty International), 국제인권연맹(International Federation for Human Rights), 자유아시아방송(Radio Free Asia), 메르카토르 중국연구소(the Mercator Institute for China Studies) 등을 해킹해왔다. 또 다른 씽크탱크들과 각국 정부 기관도 침투했다.
해커들이 미친 영향은 불분명하지만 긴 활동기간으로 미뤄볼 때 사이버 첩보활동은 성공한 것으로 분석가들은 보고 있다고 MIT 테크놀로지 리뷰가 보도했다. 이 매체는 해당 보고서에 대해 적은 자원을 가진 민간인과 회사가 어떻게 오랜 기간 해킹을 할 수 있었는지 그리고 거칠지만 효과적인 전략으로 중요한 목표들을 해킹하는데 성공했는지에 대해 새로운 단서를 제공한다고 평가했다.
레드알파가 해킹 목표로 삼은 기관들이 모두 중국의 전략적 이해와 관계있는 곳들이어서 중국정부가 이들을 뒷받침하고 있다는데 대해 레코디드 퓨처의 조사원들이 확신하고 있다고 이 회사의 존 콘드라( Jon Condra) 팀장은 MIT 테크놀로지 리뷰에 말했다.
보고서에 따르면 레드알파는 여러 인터넷 도메인을 등록하는데 중국기업과 연관된 이메일을 사용했다. 이 기업은 중국인민해방군 과학기술대학(People’s Liberation Army University of Science and Technology) 등 중국 정부 기관들과 협업을 하는 곳으로 ‘지앙수 사이머(Jiangsu Cimer)’라는 이름의 정보보안기술회사다.
중국 정부는 민간 해커들을 활용해 정보 당국과 군부가 더 고도화된 해킹을 하는데 필요한 자원을 얻고 스파이 활동을 확대할 수 있게 된다고 전문가들은 말한다. 레드알파의 활동은 2015년부터 시작됐고 2018년에 소트프웨어 개발회사인 ‘시티즌 랩(Citizen Lab)’에 의해 처음 존재가 알려졌다. 레드알파의 해킹은 중국 공산당이 ‘5대 독소’라고 부르는 티벳인, 위구르인, 대만인, 민주화 활동가들 그리고 파륜궁 신도들에 초점이 맞춰졌다.
이번에 나온 레코디드 퓨처의 보고서는 이들의 활동에 대한 새로운 증거들을 추가한 것이다. 특히 새로운 사실은 레드알파가 아직도 예전과 같이 단순하고 값싼 방식으로 해킹을 하고 있다는 점이다. 가장 최근의 첩보활동에 과거 활동 때 썼던 인터넷 도메인과 IP 주소, 전략, 악성 코드(malware) 그리고 심지어 도메인 등록에 썼던 정보까지 사용했다.
콘드라 팀장은 이와 관련해 이들 해커집단이 충분한 예산을 지원받지 못하고 활동하기 때문으로 분석했다. 다른 한편으로는 공격받는 기관들이 기본적인 보안 조치도 취하지 못하기 때문에 이들의 낡은 해킹 방식은 여전히 효과적인 것이라고 진단했다.
예를 들어 이용자의 이름과 패스워드를 도난당해도 해커들이 해당 계정을 쓰지 못하도록 하는 다원 인증(multifactor authentication) 기술은 도입하기 쉽고 값이 싼데도 대부분 피해 기관들이 쓰지 못하고 있는 실정이라는 것이다.
AI타임스 정병일 위원 jbi@aitimes.com
