"중국담당 美외교관 MS 이메일 골라 공격"…中해커 사태의 재구성

지난달 토니 블링컨 미국 국무부장관이 중국 방문길에 나서기 전날까지, 중국 해커들은 미국 정부 기관의 해킹을 시도했던 것으로 나타났다. 해커들은 정부 기관의 이메일 계정에 침투하는 방식으로 공격했는데, 국무부의 중국 담당 외교관 이메일 계정을 콕 집어 해킹하는 등으로 보아 중국 정부가 배후에 있다는 주장도 나왔다.

해커

12일 워싱턴포스트(WP)와 월스트리트저널(WSJ) 등에 따르면 애덤 호지 백악관 국가안보회의 대변인은 성명으로 "정부의 보안 요원들이 마이크로소프트(MS)의 클라우드에 침입한 사실을 확인했다"며 "즉시 마이크로소프트에 연락해 클라우드 서비스의 취약점을 찾아냈으며, 기밀이 유출되진 않은 것으로 파악하고 있다"고 밝혔다.

MS가 블로그를 통해 공식 발표한 내용에 따르면 중국 해커들은 지난 5월부터 미국과 유럽의 정부 기관 25곳의 이메일 계정 공격을 시작했다. 미국 내 기관으로는 국무부 등 9곳이 있는 것으로 알려졌다. 국방부와 정보기관, 군 이메일 계정은 영향을 받지 않은 것으로 보인다고 외신은 보도했다.

━

블링컨 방중 전날까지 해킹 시도…5월15일부터 6월16일까지

━

미 국무부와 국토안보부에 따르면 지난달 16일 중국 해커들의 침입을 발견했다. 이날은 블링컨 장관이 중국 베이징행 비행기를 타는 날이었다. 미국의 국무부 장관의 중국 방문이 성사된 건 5년 만이었다. 블링컨 장관은 시진핑 중국 국가주석과의 만남까지 예정돼 있었다. 당시만 해도 올들어 중국의 '정찰풍선'으로 불거진 뒤 고조되던 미중 갈등이 완화될 계기가 만들어질 수 있다는 평가가 나왔다.

시진핑 중국 국가주석이 6월 19일 (현지시간) 미국 국무장관으로는 5년 만에 중국을 방문한 토니 블링컨 미국 국무장관을 베이징 인민 대회당에서 만나 환영을 하고 있다. 2023.6.20 /AFPBBNews=뉴스1

하지만 블링컨 장관의 중국 방문 전날까지 중국 해커들은 국무부 내부 정보를 캐내기 위해 해킹을 시도했다. 국무부의 통보를 받고 조사에 들어간 MS는 '스톰-0558'이라는 이름의 중국 기반 해커의 흔적을 찾아냈다. 해커들은 인터넷 이용자 인증에 사용되는 '디지털 토큰'을 위조해 이메일 시스템에 접근한 것으로 조사됐다.

해커들은 이메일 해킹으로 네트워크에 들어가면 관리자와 동일한 액세스 권한을 받을 수 있는 토큰을 사용했다. 사용자 인증을 위한 MS 시스템의 약점을 이용한 것. MS는 "5월15일부터 클라우드 컴퓨팅 환경의 보안 취약점을 이용해 피해 기관 이메일 계정에 침입한 것으로 파악한다"며 "약 한 달가량 은밀히 활동한 것으로 보인다"고 밝혔다.

5월부터 시작한 점도 공교롭다. WP에 따르면 윌리엄 번스 중앙정보국(CIA) 국장이 5월 비밀리에 중국 베이징을 방문한 전후다. 외신에 따르면 번즈 국장은 당시 중국의 정보부 관리들과 만난 것으로 전해진다.

━

MS, 해킹 확인 25일 만에 공식 발표…"(중국) 스파이로 추정"

━

MS는 11일 저녁, 블로그에 해킹 발견 사실과 조사 결과를 간략하게 공개했다. 다만 중국 해커들에 의한 피해 여부나 해킹 계정의 수 등 구체적인 내용은 밝히지 않았다.

K클라우드 컨퍼런스 로고 - MS 마이크로소프트

MS가 해명한 내용에 따르면 해커들은 아웃룩 웹 앱(Outlook Web App, OWA)을 사용해 인증토큰을 위조했다. MS 측은 "MSA(클라이언트 인증 키)와 개별 이용자의 애저AD(개별 기관 인증키)를 각각 발급하고 관리하는데, 해커는 애저AD를 해킹해 이용자 이메일을 해킹한 것"이라고 설명했다. 그러면서 "MSA 키와 애저AD키, 그리고 인증 토큰을 각각 새로 발급했다"며 추가 해킹 위험을 차단했다고 강조했다.

해커들의 행동이 공격적이면서 정교한 점을 들어 중국 정보국의 일부거나 관련자일 수 있다는 주장도 있다. MS 부사장 찰리 벨은 자신의 블로그에 "중국에 기반을 둔 해커 '스톰-0558'이 정보 수집을 위해 이메일 시스템에 접근했고, 이는 스파이 활동에 초점을 둔 것으로 판단한다"며 "이런 유형의 스파이 공격자는 민감한 시스템에 있는 데이터 접근 권한을 얻으려고 계속 해킹을 시도한다"고 설명했다.

하지만 일각에서는 MS 자체가 해킹됐거나, 내부에 공조자가 있을 수 있다는 주장도 나왔다. 크라우드 서비스 업체 '크라우드스트라이크'의 수석 부사장인 애덤 마이어스는 WP와의 인터뷰에서 "해커들이 위조 토큰을 만들기 위해선 MS가 컨트롤하는 보다 강력한 내부 키가 필요하다"고 말했다. WP는 이에 대해 MS 자체가 내부자에 의해 해킹당했거나 내부자 가운데 해커들과 타협한 자가 있을 수도 있음을 시사한다고 설명했다.

━

정교해진 해커들의 공격…"중국 담당 외교관 이메일 '직접 겨냥'해 계정 접근"

━

마이크로소프트 사무실/마이크로소프트 블로그

이번 해커의 공격은 '정밀 타격'처럼 특정 외교관이나 직원을 '직접 겨냥'한 만큼 중국 정부가 배후에 있을 것이라는 의견도 보인다. 일반적인 해커의 공격이 시스템에 침입해 엄청난 양의 데이터를 무분별하게 추출하는 방식인데, 이번 해킹은 특정 계정을 쫓는 방식으로 이뤄져서다.

특히 이메일이 해킹된 사람들이 주로 정부에서 중국 관련된 업무를 하는 사람들로 드러났다. WP는 익명의 정부 관계자를 인용해 "해킹된 자료를 구체적으로 밝힐 순 없지만, 국무부를 비롯한 정부기관에서 중국과 관련된 업무(포트폴리오)를 다루는 외교관, 그리고 기타 직원들을 직접 겨냥했다"고 보도했다.

이에 야당인 공화당 의원들은 바이든 행정부에 책임을 물었다. 중국의 반복적인 스파이 활동이 드러나고 있는데, 바이든 대통령이 중국과의 관계 복구에만 너무 골몰한다는 이유에서다. 공화당 의원들은 "중국은 사이버 공격은 10년 넘게 미국 정부와 동맹국가들의 데이터를 훔쳐왔다"며 "중국의 기술이 빠르게 발전하면서 유의미한 정보를 가진 '개인'을 표적으로 삼아 해킹하는 방식으로 변하고 있다"고 WSJ은 전했다.

전직 행정관료들도 대 중국 강경책을 주문했다. 전 트럼프 행정부 국가정보국장 대변인 클리프 심스도 "바이든 대통령이 중국과 맞서지 않았기 때문에 중국이 대담해지고 있다"고 주장했다.

미 의회도 이번 사태를 짚고 넘어가겠다는 의지다. 마크 워너 상원 정보위원장은 성명으로 "중국이 미국과 동맹들을 겨냥한 사이버 수집 역량을 꾸준히 개선하고 있는 게 분명하다"며 "우리는 중국 정보기관 소행으로 보이는 중대한 사이버 보안 침투를 긴밀히 주시하고 있다"고 말했다.

김하늬 기자 honey@mt.co.kr