사이버 전장에는 우방도 없다.. 중국, 러시아 군사 기밀 해킹

[시큐리티팩트=최석윤 기자] 우크라이나 전쟁 발발 이후, 전 세계의 시선은 전장의 변화와 서방의 지원에 쏠렸다. 하지만 그 이면에서는 강대국 간의 또 다른 전쟁, 바로 사이버 전쟁이 은밀하게 진행되어 왔다. 놀랍게도 그 공격의 주체 중 하나는 다름 아닌 러시아의 '무제한 파트너'라 불리는 중국이다. 19일(현지시각) 뉴욕타임즈에 따르면, 중국 정부와 연계된 해킹 그룹들은 우크라이나 전쟁이 시작된 2022년 2월 이후 러시아 기업과 정부 기관을 대상으로 군사 기밀을 탈취하기 위한 해킹 시도를 반복해 온 것으로 드러났다.

특히 2022년 5월부터 해킹 활동이 가속화되었으며, 심지어 블라디미르 푸틴 러시아 대통령과 시진핑 중국 주석이 공개적으로 협력과 우정을 강조한 이후에도 이러한 침투는 꾸준히 지속됐다. 이는 수년간 서로를 해킹하지 않겠다고 약속했던 양국 관계의 이면에 '깊은 불신'이 존재했음을 시사한다. 사이버 보안 연구 회사 TeamT5에 따르면, 2023년에는 '산요(Sanyo)'라는 중국 해킹 그룹이 핵잠수함 정보를 얻기 위해 러시아 주요 엔지니어링 회사의 이메일 주소를 사칭하기도 했다.

중국의 '속내'는 전장 경험과 서방 기술 습득

경제적으로 훨씬 부유하고 자체적인 과학 및 군사 전문 지식이 풍부한 중국이 왜 러시아의 기밀에 눈독을 들이는 걸까? 전문가들은 중국 군사 전문가들이 종종 자국군의 전장 경험 부족을 한탄한다는 점에 주목한다. 즉, 중국은 우크라이나 전쟁을 현대 전쟁 전술, 서방 무기 시스템, 그리고 러시아의 한계점 등에 대한 정보를 수집할 절호의 기회로 보고 있는 것이다. TeamT5의 연구원 체 창은 "중국은 우크라이나에서 군사 작전, 국방 개발 및 기타 지정학적 책략을 포함하여 러시아 활동에 대한 정보를 수집하려고 할 가능성이 높다"고 말했다.

러시아 국내 안보 기관인 FSB의 기밀 방첩 문서도 이러한 분석에 힘을 싣는다. 뉴욕타임스가 입수한 이 문서에 따르면 FSB는 중국을 '적(敵)'이라고 지칭하며, 중국이 러시아 국방 전문성과 기술을 탐색하고 우크라이나에서 군사 경험으로부터 배우려 한다고 명시했다. 이러한 문서는 시진핑 주석과 푸틴 대통령이 묘사하는 '무제한 파트너십'이 실제로는 훨씬 더 복잡하고 미묘한 관계임을 보여준다.

드론 전쟁과 소프트웨어, 중국의 주요 관심사

보고서에 따르면 중국이 특히 관심을 갖는 분야는 '드론 전쟁과 소프트웨어'다. 이는 미래 전장에서 드론의 중요성이 더욱 커질 것이라는 예측과 맞물린다. 사이버 보안 회사 팔로알토 네트웍스의 선임 연구원 이타이 코헨은 "우크라이나 전쟁은 양국의 정보 우선순위를 근본적으로 바꾸어 놓았다"고 설명했다. 전문가들은 중국이 러시아의 전쟁 경험에서 교훈을 얻어 미래 잠재적 분쟁, 특히 대만과 갈등에 대비하려 한다고 분석한다.

실제로 팔로알토 네트웍스에 따르면, 중국 정부 지원을 받는 한 그룹은 러시아 국영 방위 대기업 로스텍(Rostec)을 표적으로 삼아 위성 통신, 레이더, 전자전에 대한 정보를 찾으려 했다. 다른 그룹들은 마이크로소프트 워드의 취약점을 악용한 악성 파일을 이용해 러시아 항공 산업 관련 표적과 국가 기관에 침투했다.

중국 국가 후원, 해킹 그룹 활동

모든 중국 해킹 그룹이 정부의 명령에 따라 움직이는 건 아니지만, 보안 전문가들은 정부와 연계된 명확한 증거를 포착했다. 러시아 사이버 보안 회사 포지티브 테크놀로지스는 2023년에 러시아 항공우주, 민간 보안 및 방위 부문이 사이버 공격을 받았다고 밝혔다. 이 공격에 사용된 '디드 랫(Deed RAT)'이라는 도구는 중국 정부가 후원하는 해커들이 널리 사용하는 것으로 알려져 있으며, 다크 웹에서 쉽게 구할 수 없는 '독점적' 도구로 평가된다. 이는 중국의 국가 지원 해킹 그룹들이 적들이 멀웨어에 대항하기 어렵도록 독자적인 도구를 사용하는 경향을 보여준다.

중국 정부가 후원하는 해킹 그룹들은 주로 미국과 유럽 등 국제 기업 및 정부 기관을 표적으로 삼아왔다. 그러나 러시아의 우크라이나 침공 이후 이들은 러시아 표적에 대한 관심도를 높인 것으로 보인다.

TeamT5는 러시아를 겨냥한 여러 중국 해킹 그룹을 추적했는데, 그 중에는 가장 활발한 해킹 그룹 중 하나인 머스탱 판다(Mustang Panda)도 포함되어 있었다. 보안 회사 소포스(Sophos)의 위협 인텔리전스 책임자 라프 필링에 따르면 머스탱 판다의 활동은 종종 중국의 일대일로 경제 개발 이니셔티브와 함께 이루어졌다고 한다. 중국이 서아프리카와 동남아시아의 개발 프로젝트에 투자하면 곧 해킹 활동이 뒤따랐다는 것이다.

러시아의 우크라이나 침공 이후 머스탱 판다는 러시아와 유럽 연합 정부 기관으로 공격 범위를 확장했다. 필링은 머스탱 판다가 중국의 주요 정보 기관인 국가안전부의 지원을 받고 있다고 의심하고 있다. 그는 2022년에 머스탱 판다가 중국과 시베리아 국경 근처의 러시아 군 관계자와 국경 수비대를 표적으로 삼았다고 덧붙였다. "우리가 관찰한 표적은 정치적, 군사적 정보 수집인 경향이 있다"고 필링은 강조했다.

동맹이 적으로.. 사이버 공간의 '무제한 경쟁'

2009년과 2015년 중국과 러시아는 서로를 겨냥한 사이버 공격을 감행하지 않기로 약속했지만, 당시에도 분석가들은 이 합의가 대체로 상징적이라고 평가했다. 실제로 러시아에 대한 중국의 해킹은 우크라이나 전쟁과 함께 시작된 것이 아니다. 2021년에도 중국 해커들은 러시아 잠수함 설계자를 표적으로 삼았다. 그러나 전문가들은 전쟁이 컴퓨터 침입을 급증시켰다고 말한다.

"비록 대중의 내러티브가 러시아와 중국의 긴밀한 관계에 관한 것이었지만, 우리는 러시아의 우크라이나 전면 침공 직후 몇 달 만에 그 활동을 목격했다"고 코헨은 밝혔다.

사이버 전장은 국가 간의 이해관계에 따라 언제든 동맹이 와해되고, 적이 될 수 있는 '무제한 경쟁'의 공간이 되어버렸다. 기술 발전과 함께 더욱 정교해지는 사이버 공격은 이제 단순히 정보 탈취를 넘어 국가 안보와 경제에 직접적인 위협을 가하고 있다.

최석윤 기자 sukyoon@securityfact.co.kr 이 기자의 다른 기사 보기