Chinese hackers disguised themselves as Iran to target Israel

실패로 막 내린 중국 해커들의 위장술

2019년과 2020년 이스라엘 정부와 기업을 겨냥한 대규모 해킹 공격이 일어났다. 이란의 공격인 것처럼 위장한 이 공격을 주도한 세력은 결국 중국 해커들이었던 것으로 드러났는데...

2019년과 2020년 이스라엘 정부와 기술 회사의 컴퓨터가 해킹되자 수사관들은 누구의 소행인지 알아내기 위해 단서를 추적했다. 첫 번째 증거는 이스라엘의 가장 논쟁적인 지정학적 경쟁자, 이란을 직접 가리키고 있었다. 해커들은 가령 페르시아어로 만들어진 프로그램 등 주로 이란과 연관된 툴을 사용했다.

그러나 중동 전역의 다른 사이버 첩보 사건에서 수집한 정보와 증거를 추가로 검토한 결과, 분석가들은 이 사건이 이란의 소행이 아니라는 것을 알게 되었다. 사실은 이는 테헤란 해커팀으로 가장한 중국 요원들이 벌인 작전이었다.

해커들은 이스라엘 정부, 기술 회사 및 통신 회사를 성공적으로 공략했으며, 위장술을 써서 분석가들이 이스라엘 지역의 적국을 범인으로 오인하도록 유도했다.

이스라엘군과 협력하고 있는 미국 사이버 보안업체 파이어아이(FireEye)의 이번 연구는 해커들의 실패한 속임수를 폭로하고, 그들이 다른 데 책임을 전가하기 위해 사용했던 기술들을 설명한다.

그들의 전술은 ‘이란’이라는 단어가 포함된 파일 경로를 사용하는 등, 자신이 이란 간첩임을 직접적으로 암시하는 방식이 대부분이었다고 이 연구 논문은 밝혔다. 그러나 해커들은 손상된 컴퓨터에 남겨지는 포렌식 증거를 최소화하고, 이스라엘 컴퓨터에 침입하기 위해 사용했던 인프라를 은폐함으로써 그들의 실제 신원을 감추기 위해 노력하기도 했다.

하지만 이란을 범인으로 몰아세우려던 계획은 실패했다. 파이어아이가 ‘UNC215’라고 지칭하는 이 집단이 저지른 기술적 실수와 그들 전과 간의 관련성이 드러나면서 해커들의 정체가 들통난 것이다. 일례로 그들은 이전에 다른 중동 지역 작전에서 사용했던 것과 유사한 파일, 인프라, 전술을 활용했다.

파이어아이의 위협 정보 담당 부사장인 존 헐퀴스트(John Hultquist)는 “공작원이나 의뢰자를 식별할 수 있는 부분이 있다. 속임수를 써도 작전 중 종적이 남는다.”라고 말한다.

여러 가지 기술적 누출과 더불어, 해커들이 목표로 삼은 정보나 피해자의 유형도 중요한 단서가 된다. UNC215는 중동과 아시아에서 유사한 목표물들을 반복적으로 공격했는데, 이 모든 대상은 이란보다는 중국의 정치적, 경제적 이익과 직결되었다. 또한 이 그룹의 표적은 다른 중국 해킹 그룹의 것과 겹치는 양상을 보였다.

헐퀴스트는 “아무리 대단한 속임수를 쓰더라도 궁극적으로는 이해관계에 따라 공략하게 마련”이라면서 “이러한 사실이 해커의 이해관계와 신원에 대한 정보가 된다.”라고 덧붙였다.

이 문제에 대한 유일한 대응책은 실제 관심 밖의 목표물을 쫓아 수사관들의 감시망을 피하는 것이다. 그러나 그것은 그 자체로 문제를 야기한다. 활동량을 늘릴수록 잡힐 확률이 확연히 높아진다.

해커들이 남긴 족적은 결국 이스라엘과 미국 수사관들이 이것이 이란이 아닌 중국 그룹의 소행임을 확신하기에 충분했다. 같은 해킹 집단이 전에도 비슷한 속임수를 쓴 적이 있었다. 실제로 그들은 2019년 이란 정부까지 해킹해, 한층 더 그럴듯한 사기극을 꾸몄을 수 있다.

이는 이스라엘에 대한 중국의 대규모 해킹이 이루어진 첫 사례로, 이스라엘 기술 산업에 대한 중국의 수십억 달러 규모 투자에 뒤따른 것이었다. 이 투자는 중국의 영향력을 급속히 확대해 유라시아를 넘어 대서양까지 진출하고자 하는 중국 ‘일대일로(一帶一路, China’s Belt and Road Initiative) 프로젝트’ 경제 전략의 일환으로 이루어졌다. 미국은 안보 위협이 될 것이라는 이유로 이 투자에 대해 경고한 바 있다.

오도와 잘못된 귀책

이스라엘에 대한 UNC215의 속임수는 특별히 정교하거나 성공적이지는 않았다. 하지만 이 사건은 사이버 첩보 활동에서 귀책 혹은 잘못된 귀책(misattribution)이 얼마나 중요한지 보여준다. 이 사례에서도 해커 그룹이 잠재적 희생양을 만들어 자기 신원을 숨기는 수법에 더해, 배후 국가가 외교 차원에서 테러범을 숨겨 수사관들의 올바른 귀책을 방해하는 일이 있었다. 간첩 증거에 직면할 때마다 중국 관료들은 해커를 추적하는 것이 어렵거나 심지어 불가능하다고 주장한다. 워싱턴DC의 중국 대사관 대변인은 이에 대해 “중국은 모든 형태의 사이버 공격에 단호히 반대하고 맞서고 있다”고 말했다.

수사관을 오도하려는 시도는 더 큰 의문을 품게 만든다. 위장술책이 수사관과 희생자를 속이는 데 얼마나 자주 성공할까? “흔한 일은 아니”라고 헐퀴스트는 말한다.

그는 “이러한 속임수의 핵심은 좁은 틈새로 사건을 들여다볼 때 매우 효과적일 수 있다는 것”이라고 한다. 개별 공격에 한해서는 수사관을 잘못된 귀책으로 유인할 수 있으나, 많은 공격이 연달아 이어지면서 해커의 위장을 유지하기가 현실적으로 점점 어려워진다는 것이다. 2019년과 2020년 이스라엘을 겨냥한 중국 해커들의 경우가 그렇다.

“여러 번의 작전을 거치면서 들키지 않고 속이기는 매우 어렵다.”

존 헐퀴스트, 파이어아이

헐퀴스트는 “일단 다른 사건들과 연관 짓기 시작하면 속임수는 그 효력을 잃는다”고 설명했다. “여러 번의 작전을 거치면서 들키지 않고 속이기는 매우 어렵다.”

사이버 공간에서 잘못된 귀책으로 가장 유명한 사건은 ‘올림픽 파괴자(Olympic Destroyer)’라고 불리는 2018년 대한민국 동계 올림픽 개막식에 대한 러시아의 사이버 공격이었다. 러시아인들은 북한과 중국 해커들을 지목하는 단서를 남기려고 했는데, 이는 수사관들이 어떤 명확한 결론에 도달하는 것을 막기 위해 고안된 모순된 증거로 보인다.

당시 러시아의 정보보안업체인 카스퍼스키랩(Kaspersky Lab)의 글로벌 연구분석팀장 코스틴 라이우(Costin Raiu)는 “올림픽 파괴자는 끔찍한 위장술책과 잘못된 귀책에 대한 놀라운 예시”라는 트윗을 남겼다.

마침내 연구자들과 정부들은 이 사건에 대한 책임을 전적으로 러시아 정부에 돌렸고, 지난해 미국은 이 공격과 관련하여 6명의 러시아 정보부 요원을 기소했다.

올림픽 파괴자 해킹으로 처음 의심받았던 북한 해커들은 자체 작전 중 위장술책을 흘린 일이 있었다. 그러나 이들 또한 민간 연구원과 미국 정부에 의해 적발되었으며, 미국은 올해 초 북한 해커 3명을 기소했다.

헐퀴스트는 “귀책이 실제보다 어렵다는 오해는 항상 있었다”라고 말한다. “우리는 위장술책이 대화 중에 끼어들어 ‘귀책이 가능하다’는 우리의 주장을 방해할까 봐 늘 우려해왔다. 하지만 아직 그 정도는 아니다. 귀책을 방해하려는 시도들은 여전히 감지할 수 있는 수준에서 이루어지고 있고, 우리는 진상을 밝히고 있다.”

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.