8 October 2024
안녕하세요 인텔렉추얼데이터입니다.
지난 22일, 최근 중국의 정보/군사당국이 민간 보안업체를 활용해 외국 정부와 기업, 인프라에 대한 광범위한 정보를 탈취한 사실이 드러났습니다. 한국 통신사인 LG유플러스 역시 피해를 입었는데요. 3TB 규모의 통화 로그가 유출되었습니다.
민간 사이버보안 업체를 통한 정보 유출
유출에 개입한 업체는 민간 사이버보안업체 아이순(ISoon)으로, 깃허브(GitHub)를 통해 아이순이 수집한 정보와 정부와의 계약 문건, 탈취 정보 목록 등이 유출되었습니다. 이는 약 570개 이상의 파일, 이미지, 로그 기록 등 약 8년에 걸친 해킹 기록인데요. 탈취된 정보 목록에는 95.2GB 규모의 인도 이민 데이터, 459GB 규모의 대만 도로 데이터 등이 포함되어 있습니다. 이 파일을 통해 전문가들은 중국 당국의 정보 수집 활동 범위를 비롯하여 정보를 악용하는 이유, 그리고 중국 내에서 상업 해커들이 엄청난 출혈 경쟁을 할 정도로 포화상태에 이르러 있는 상태라고 했습니다.
공안국의 요청으로 진행된 대규모 해킹
이번 공격에서 아이순은 또 다른 중국 해킹 단체인 Chengdu 404와 협력한 정황이 확인되었는데요. 아이순 유출에서 거론된 대상으로는 영국 싱크탱크인 채텀하우스(Chatham House), 아세안 내 공중보건국이나 외교부, 화웨이 통신장비를 사용하는 통신사, 신장 위구르 내 요주의 인사 등이 있었습니다. 계약 문건을 통해 이런 데이터는 실제 중국 공안국의 요청을 받고 해킹/수집된 것으로 확인되었는데요.
공개된 내용 중에는 심지어 신장 위구르 자치구의 한 지방 당국과의 계약이 있었는데, 아이순은 위구르족을 감시하는 데 있어 현지 경찰에 '테러 방지' 지원을 제공할 수 있다고 밝힌 내용도 확인되었습니다. 아이순은 “여러 국가의 다양한 서버 권한 및 인트라넷 권한”에 액세스하는 데 10년 이상의 경험이 있다고 자신하기도 했습니다. 또한 이들은 X(舊 Twitter)의 계정을 해킹하고, Facebook에서 개인 정보를 얻고, 내부 데이터베이스에서 데이터를 얻고, Mac 및 Android를 포함한 다양한 운영 체제를 손상시킬 수 있다고 주장했습니다.
중국 정부와 민간 업체의 대규모 해킹 생태계
이번에 유출된 파일 중 하나에는 "북마케도니아 유럽 사무국의 메모"라는 제목의 폴더 스크린샷이 있었고, 다른 스크린샷에는 "COP15 2부에 관한 EU 입장 초안"이라는 제목의 파일을 포함하여 EU와 관련된 것으로 보이는 파일 확인되었습니다. 이 파일 이름은 EU 기관에서 사용하는 암호 체계와 동일한 것으로, 전문가들은 이번 공격이 허세가 아니라 진짜 유출이라 보고 있습니다.
여기에 중국 공안측이 사용한 돈도 공개되었는데, 산둥성의 한 시 공안국은 1년 동안 10명의 용의자에 대한 이메일 해킹을 위해 거의 8천만원에 가까운 돈을 지불하기도 했습니다. 아이순은 중국 국가안보부, 인민해방군 등과 작게는 1400달러(약 180만원)부터 최대 80만달러(약 10억6000만원) 규모의 계약을 수백 건 체결한 것으로 드러났는데요. 전문가들은 중국 정부가 아이순 같은 민간 사이버 보안업체를 동원해 대규모 해킹 생태계를 구축했다고 분석했습니다.
이번 공격에서 목표된 것으로 드러난 곳 중 하나인 채텀하우스 대변인은 "이 사건에 대해 큰 우려를 하고 있으며, 우리는 정기적인 공격 시도의 표적이 되고 있다"며 "다양한 기술적 보호 조치를 포함한 보안 조치를 취하고 있다고 언급했습니다. NATO 관계자는 "우리는 광범위한 사이버 방어에 투자, 이와 같은 공격에 대비하고 있다"고 말했습니다. 영국 외무부와 파키스탄은 이번 사건에 대한 논평 요청에 응답하지 않았습니다.
네트워크 장비의 제로데이 취약점을 노리는 해커
서레이 대학의 보안 전문가 앨런 우드워드(Alan Woodward)는 "중국 정부는 기본적으로 가능한 한 많은 데이터를 수집하고 있다"고 말했는데요. "랜섬웨어 공격이나 기타 파괴적인 행동을 수행하는 러시아 국가 관련 해커와 달리 중국의 시도는 대량 데이터 수집에 초점을 맞추는 경향이 있고 이를 통해 이후 단계에서 파괴적인 활동을 위한 토대를 마련한다"고 말하기도 했습니다. 특히 사이버 보안 전문가인 드미트리 알페로비치는 "도로 데이터는 중국이 대만 침공에 나설 경우 매우 유용하게 쓰일 수도 있다"고 말했습니다.
특히나 화웨이 장비 등을 사용했던 LG U+도 피해를 입었는데, 화웨이 장비가 문제라고 알려진데는 중국산 장비를 배척한 서방 국가의 통신사들은 이번 리스트에 없었지만 홍콩, 카자흐스탄, 말레이시아, 몽골, 네팔, 대만 등 화웨이와 ZTE(중싱통신) 장비를 채택한 통신사들의 데이터가 노출되었기 때문입니다. 중국 공안측과 아이순이 중국 내에서 만들어지는 장비에 있는 제로데이 취약점을 공유했다는 것을 미루어 짐작할 수 있는데요. 실제로 NSA는 알려지지 않은 대다수의 제로데이 공격 방법을 보유 중이라는 이야기도 있을 정도입니다.
특히 필요에 따라 미국 정부가 합법적으로 클라우드 내에 있는 데이터를 열람할 수 있게 하는 CLOUD ACT 통과 이후 대부분의 국가에서 외국 클라우드 컴퓨팅 플랫폼에서 작동하는 솔루션에는 기밀 정보를 올릴 수 없다는 반응을 보이기도 했습니다.
결국 여러 인증을 받은 다양한 장비를 필요에 따라 구축하고 적합한 암호화 체계를 사용, 때에 따라서는 격리된 데이터 센터를 사용하면서 데이터 유출/변조에 최대한 저항할 수 있는 시스템을 설계하고 사용하는 것이 현 시점에서 최선의 방어책이라고 할 수 있을 것입니다. 인텔렉추얼데이터는 전용 데이터 센터 내에 위치한 보안성이 보장된 전용 스토리지를 사용하며 공격자가 침투할 수 있는 포인트를 최소화하는 방식으로 고객사의 민감정보를 최대한 보호하는데 최선의 노력을 경주하고 있습니다.