How China turned a prize-winning iPhone hack against the Uyghurs

중국, 아이폰 해킹코드 활용해 위구르족 탄압

애플 기기를 공격하는 해킹 코드가 중국 정부의 이슬람 소수민족 감시에 사용되었다. 미국 정부는 이것이 중국 해킹 대회에서 나왔다고 주장한다.
  • 중국 정부가 해킹 대회에서 수상한 아이폰 해킹 코드로 위구르족을 몰래 감시했다.
  • 미국이 이를 추적하여 애플에 알렸다.
  • 전문가들은 텐푸컵(Tianfu Cup)이 중국의 “제로데이(zero-day) 수집 현장”이라고 입을 모은다.

2017년 3월 한 무리의 중국 출신 해커가 밴쿠버 공항에 도착했다. 이들의 목적은 단 하나, 세계에서 가장 많은 인구가 사용하는 기술 제품의 취약점 찾는 것이었다.

구글의 크롬 브라우저, 마이크로소프트의 윈도 운영체제, 애플의 아이폰이 모두 주요 표적이었다. 그렇지만 아무도 법을 어기는 일은 없을 것이었다. 그들은 단지 세계 최고의 해킹대회 Pwn2Own에 참가한 많은 해커 집단 중 하나였으므로.

그 해는 Pwn2Own 10주년이 되던 해였다. 엘리트 해커들이 거액의 상금을 쫓아 전 세계에서 몰려들었다. 상금을 손에 넣으려면 지금까지 발견되지 않은 새로운 소프트웨어 취약점인 ‘제로데이(zero-day)’을 찾아 해킹에 성공해야 했다. 발견된 취약점은 보안 강화를 위해 관련 기업에 자세한 정보가 제공되고, 취약점을 발견한 해커는 상금은 물론 평생 자랑할 거리를 들고 집으로 돌아가면 되었다.

그 몇 년 전부터 Pwn2Own 같은 대회에서 중국 해커들은 절대 강자로 군림했다. 이들은 수백만 달러의 상금을 휩쓸면서 엘리트 해커로 명성을 날렸다. 그러던 2017년 그 모든 것이 갑자기 멈췄다.

중국 엘리트 해커 중 한 명이 아이폰 해킹에 성공했다. … 곧바로 다음날, 애플이 미처 문제를 해결하기 전에, 중국 정보 당국이 이를 무기화 하여 옴짝달싹 못하는 처지의 소수민족을 상대로 휘둘렀다. 백주 대낮에 일어난 일이다.

중국의 거대 정보보호 기업 치후 360(Qihoo 360)의 억만장자 설립자 겸 CEO 저우 홍이(Zhou Hongyi)가 중국인들의 해외 해킹 대회 참가를 갑자기 공개적으로 비난하고 나섰다. 중국 뉴스포탈 시나(Sina)와의 인터뷰에서 그는 그런 대회에서 우수한 성적을 거둬도 그것은 “허망한” 성공일 뿐이라고 평가절하했다. 이어 중국 해커들이 해외 대회에서 소프트웨어 취약점을 찾아 자랑스럽게 공개하면, 그 취약점은 “쓸모가 없어진다”고 목소리를 높였다. 그는 소프트웨어 취약점의 진정한 중요성과 “전략적 가치”를 실현하기 위해서는 해커와 이들이 가진 지식이 “중국 국내에 머물러야” 한다고 주장했다.

중국 정부가 여기에 동의했다. 곧바로 사이버보안 분야 연구원의 해외 해킹 대회 참가가 금지되었다. 몇 달 후 국제 대회를 대체하는 해킹 대회가 중국 내에 신설됐다. 텐푸컵(Tianfu Cup)이라 명명된 이 대회에 총 백만 달러가 넘는 상금이 걸렸다.

2018년 11월에 텐푸컵 출범식이 열렸다. 20만 달러의 상금이 걸린 최우수상은 치후 360 소속 치쑨 자오(Qixun Zhao)에게 돌아갔다. 자오는 최신 업데이트가 적용된 아이폰도 간단하고 확실하게 통제할 수 있는 일련의 취약점을 찾아 해킹에 성공하는 놀라운 실력을 보여주었다. 사파리 웹브라우저에서 해킹을 시작한 자오는 아이폰 운영체제의 핵심인 커널에서 취약점을 발견했다. 이 취약점을 활용하면 치쑨이 만든 악성코드가 숨겨진 웹페이지를 방문한 모든 아이폰을 원격으로 통제할 수 있다. 이 코드는 범죄집단이나 정부기관이 대규모 인구 집단을 감시하기 위해 수백만 달러를 주고 사들이는 그런 종류의 악성코드였다. 치쑨은 이 악성코드를 ‘카오스’라고 명명했다.

그로부터 두 달 후인 2019년 1월 애플은 자오가 찾은 취약점을 보완하여 소프트웨어 업데이트를 발표했다. 거창한 감사 인사는 없었다. 취약점을 찾아줘서 고맙다는 짧은 메시지가 전부였다.

같은 해 8월 구글이 “아이폰이 대량 동원된” 해킹 공격에 관한 예사롭지 않은 내용이 담긴 보고서를 발표했다. 구글 연구팀은 “현재 활동 중인” 다섯 개의 취약점을 낱낱이 분석했으며, 그 중에는 자오에게 최우수상을 안겨준 취약점도 포함되었다. 구글은 이것을 무명의 “공격자”가 찾았다고 설명했다.

구글 연구팀은 실세계에서 사용되는 것을 포착한 공격 기법과 카오스 사이의 유사점을 지적했다. 그런데 이들이 심층 분석을 통해서도 놓친 것이 있었다. 바로 공격자와 피해자가 각각 중국 정부와 위구르족이라는 것이었다.

탄압 작전

중국 정부는 7년 전부터 중국 서부 신장 지역의 위구르족을 비롯한 소수 민족의 인권을 탄압하기 시작했다. 수용시설 운영, 강제 불임시술 시행, 조직적 고문 및 강간, 강제노동 등 유례없는 인권 탄압을 증명할 자료가 충분하다. 중국 정부 관료들은 이것이 ‘테러와 극단주의’ 소탕을 위한 것이라고 주장한다. 그렇지만 여러 나라 특히, 미국은 이를 대량 학살이라고 본다. 이 같이 위구르족 주민의 삶을 짓밟는 유례없는 인권 탄압에 표적형(targeted) 해킹 작전이 동원되고 있다.

중국은 위구르족에 대해 매우 적극적으로 해킹을 수행하고 있다. 사실상 중국 국경을 한참 넘어 세계 곳곳에서 이루어지고 있다. 언론인, 반체제 인사 등 중국 정부가 충성심이 부족하다고 의심하는 사람이면 누구나 해킹의 대상이 된다.

구글 연구팀의 발표가 있은 직후 언론이 단편적인 사실을 엮어 전체 그림을 완성했다. 카오스 취약점을 이용한 작전은 위구르족이 표적이고, 해커들은 중국 정부와 관련이 있다는 결론이었다. 드물게 애플도 블로그 포스팅을 통해 두 달 즉, 치쑨이 텐푸컵에서 우승한 직후부터 보안 업데이트가 발표될 때까지 공격이 있었음을 확인해주었다.

본지는 미국 정부도 별도로 카오스 취약점이 위구르족 공격에 이용된 것을 발견하고 애플에 알린 사실을 파악했다(애플과 구글 모두 답변을 거절했다).

미국이 내린 결론은 다음과 같다. 중국은 기본적으로 치후 360의 CEO 저우 홍이가 제시한 ‘전략적 가치’ 계획을 실행했다. 텐푸컵을 통해 중요한 해킹 코드가 생성되었다. 이 코드는 곧바로 중국 정보당국에 전달되어 비밀리에 위구르족을 감시하는 데 사용되었다.

본지가 입수한 정보에 따르면 미국은 위구르족 감시에 사용된 해킹 코드의 세부 정보를 모두 수집하여 카오스 코드와 비교했다(구글도 추후 심층 분석을 통해 양자의 구조적 유사성이 매우 높다는 점을 지적했다). 미국 정부는 이를 은밀히 애플에 알렸다. 이미 자체적으로 공격을 추적하고 있던 애플도 텐푸컵을 통해 생성된 코드와 위구르족 감시에 활용된 코드는 같은 코드라는 동일한 결론에 이른 상태였다. 애플은 보안이 한층 강화된 업데이트 출시에 우선순위를 두었다.

치후 360 및 텐푸컵 측에 여러 차례 답변을 요청했지만 아무 답변을 받을 수 없었다. 트위터를 통해 치쑨 자오에게도 답변을 요청했다. 그는 관련성을 강력히 부인했지만 해킹 코드가 누구 손에 들어갔는지는 기억나지 않는다고 말했다. 처음에는 위구르족 탄압에 사용된 해킹 코드가 “패치 발표 후에” 사용되었을 가능성을 제기했다. 그러나 그의 주장과 달리 구글과 애플에는 해당 코드가 2019년 1월 이전에 사용되었음을 보여주는 방대한 증거가 있다. 그는 또 ‘카오스’ 코드가 다른 해커들이 만든 코드와 공통점이 있다는 점을 지적했다. 사실을 말하자면, 이들 코드는 단순히 비슷하기만 한 것이 아니라 같은 코드라는 결론을 애플과 미국 정보당국이 이미 한참 전에 내린 상태였다. 비록 자오가 해킹 코드를 작성하기는 했지만, 텐푸컵 이후 이 코드에 벌어진 일에 그가 직접 관련되었다는 것을 암시하는 증거는 없다(그렇지만 중국에서는 정보 당국이 요청하면 개인 및 조직은 법률에 따라 정보 당국을 지원하고 협조해야 한다).

이 취약점이 해결된 것은 이미 텐푸컵이 소기의 목적을 달성한 후였다.

“해커들의 해외 대회 참여를 금지한 처음의 결정은 찾은 취약점을 다른 나라는 모르게 하고 싶은 욕심 때문이었을 것”이라고 미국 외교협회(Council for Foreign Relations)의 중국 사이버보안정책 전문가 아담 시걸(Adam Segal)은 말한다. 그는 이 결정이 중국 최고 수준 해커들의 수입원을 끊어버리는 바람에, “이들이 어쩔 수 없이 정부 및 대기업과 긴밀한 관계를 맺어야 했다”고 설명한다.

실로 참담한 일이다. 중국 엘리트 해커 중 한 명이 아이폰 해킹에 성공하고, 그 대가로 대중적 갈채와 거액의 상금을 손에 넣었다. 곧바로 다음날, 애플이 미처 문제를 해결하기 전에, 중국 정보 당국이 이를 무기화 하여 옴짝달싹 못하는 처지의 소수민족을 상대로 휘둘렀다. 백주 대낮에, 그 어떤 대가도 치르지 않을 것임을 알고 저지른 뻔뻔한 행위다.

연관성에 대한 우려

텐푸컵은 올해로 3주년을 맞았다. 쟁쟁한 중국 IT기업들이 텐푸컵을 후원한다(알리바바, 바이두, 치후 360 등은 주최 기관이다). 그렇지만 미국 정부와 보안 전문가들은 대회 관련 기관과 중국군의 관계에 대해 우려의 목소리를 높인다.

시가총액이 90억 달러가 넘는 치후 360은 2020년 다른 수십 개 중국 기업과 함께 미국의 교역금지명단에 올랐다. 중국군을 지원할 가능성이 있다는 미국 상무부 평가가 나온 후의 일이다.

텐푸컵과 관련된 다른 기업들도 미국 정부의 경계 대상이다. 미국 정부는 텐푸컵 주최 기관인 베이징 소재 탑섹(Topsec)이 중국 정부에 해커를 파견하고 해킹 교육과 서비스를 제공했으며, 민족주의 성향 해커를 고용했다고 주장한다.

탑섹은 2015년 미국 보험사 앤썸(Anthem) 해킹을 비롯한 여러 건의 사이버 간첩 활동에 연루됐다. 탑섹과 앤썸 해킹의 연결 고리는 미군 방산업체 해킹에 사용된 서버와 중국 대학생 대상 해킹 대회에 사용된 서버가 같은 서버라는 것이 드러나면서 우연히 밝혀졌다.

그 밖에 중국의 초기 민족주의 해킹 운동을 일컫는 녹색군대(Green Army)에 뿌리를 둔 엔에스포커스(NSFocus), 공격적 해킹과 관련된 방산업체로 최근 빠른 성장세를 보이는 비너스테크(Venus Tech)가 있다.

텐푸컵 주최 기관인 국유 중국전자과학기술그룹(China Electronics Technology Group Corporation)의 감시 부문 자회사 히크비전(Hikvision)도 경계 대상이다. 히크비전은 중국 정부에 ‘위구르족 분석도구’와 안면인식도구를 공급한다. 히크비전도 2019년 미국 교역금지명단에 올랐다.

미국 전문가들은 텐푸컵이 중국 정보당국과 분명 관련이 있다고 말한다.

“그것[텐푸컵]은 중국이 제로데이 뿐만 아니라 인력을 대규모로 선발하는 현장”이라고 캘리포니아 소재 보안업체 파이어아이(FireEye)의 사이버 방첩팀 애널리스트 스캇 헨더슨(Scott Henderson)은 말한다.

위구르족 탄압과 텐푸컵의 관련성은 버그에 조기에 접근하는 것이 강력한 무기가 될 수 있음을 보여준다. 2021년 초 중국 해커들이 마이크로소프트 익스체인지에 대해 ‘무차별적인’ 공격을 감행했다. 이 공격은 앞서 언급된 애플 공격과 몇몇 측면에서 놀라울 정도로 유사했다.

이번 경우, 대만 연구자가 버그를 발견하여 마이크로소프트에 넘겼다. 마이크로소프트는 이를 파트너사와 비밀리에 공유했다. 그런데 보안 패치가 나오기도 전에 중국 해커들이 세계 각지에서 공격을 감행했다. 마이크로소프트는 어쩔 수 없이 일정을 앞당겨, 예정 보다 2주 먼저 보안 패치를 발표했다. 현재 버그가 유출되었을 가능성을 조사하고 있다.

이 같은 버그의 가치는 어마어마하다. 금전적인 면에서만 아니라 간첩 활동과 억압을 자행할 기회를 열어준다는 면에서도 그렇다.

취약점에 대해 자세히 밝힌 원보고서에서 구글 연구팀의 이안 비어(Ian Beer)도 이 같은 취지로 진술했다. 그는 “이들 취약점의 가치가 100만달러, 200만달러, 혹은 그 이상인지 도저히 논할 수 없다”며 “전세계 모든 사람의 사적 활동을 실시간으로 표적 감시하는 능력을 감안하면 얼마를 불러도 부족할 것”이라고 밝혔다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.