세계서 암약하는 중국정부계 해커집단 APT31의 실체란

세계서 암약하는 중국정부계 해커집단 APT31의 실체란

2024년 3월 25일, 미국 정부는 중국의 정부계 사이버 공격 그룹 「APT31」에 의한 사이버 공작에 관여한 혐의로 중국인 7명을 기소했다고 발표했다. 이 소식은 최근 세계적으로 주목받고 있는 중국의 해킹 공격 실태를 밝히고 있으며 보안 관계자들 사이에서 주목받고 있다.

기소장에 따르면 기소된 피고인은 倪高彬(Ni Gaobin38세), 翁明(Weng Ming 37세), 程锋(Cheng Feng 34세), 彭耀文(Peng Yaowen 38세), 孙小辉(Sun Xiaohui 38세) 熊旺(Xiong Wang35세), 赵光宗(Zhao Guangzong38세)이다. 전원이 중국에 거주하고 있는 것으로 보이고 있다.

이들은 사이버 보안 관계자들 사이에서 잘 알려진 APT31 멤버다. APT란 APT공격(고도 표적형 공격)을 하는 그룹을 말한다. 통상, 이러한 수준의 공격을 할 수 있는 것은 국가 지원형의 그룹이기 때문에, APT그룹이라고 불리는 조직은 정부계 사이버 공격 그룹(국가형 공격 그룹)으로 분류된다.
덧붙여서 최초로 APT 그룹이라고 이름 붙여진 「APT1」은, 중국 인민해방군으로 미국 등을 표적으로 하는 사이버 공격부대 「61398 부대」를 가리킨다.

미국 정부는 2014년 APT1을 회원들의 실명과 얼굴을 공개해 기소 처분한 이후 중국과 북한, 러시아 등 정부가 배후에 있는 것으로 보이는 각지의 사이버 공격 그룹을 기소해 왔다. 물론 미국 정부는 범인이 외국에 있기 때문에 쉽게 잡을 수는 없다고 알고 있지만 공격자의 어트리뷰션(공격원의 특정)을 함으로써 억제력이 되고, 정보를 공개하여 현 상황을 널리 알리는 데 효과적이라고 생각하고 있다.

다른 나라도 「퍼블릭 어트리뷰션(Public Attribution)」(정보원을 특정해 정보공개하고 비난하는 것)을 하게 되어 있지만, 앞으로도 계속 실시해 나가야 할 것이다. 그렇지 않으면, 범인이 잡히지 않은 채, 당하는 채로 끝나 버린다.

◆ 뉴욕 검찰이 공개한 고소장
APT31 그룹은 중국 우한시에 있는 MSS 후베이주 안전부에 의해 운영되고 있다. 알고 있는 바로는, 적어도 2010년부터 2024년 1월까지, 우한 코즈이치 과학기술유한공사(우한 XRZ)라고 하는 프론트 기업을 통해서 활동하고 있었다고 보고 있다. APT31 그룹으로 이번 7명은 세계적인 해킹 캠페인을 벌이고 있었다. 지금까지 표적이 된 조직이나 기업 등은 수천을 넘는다. 표적의 네트워크나 전자메일의 계정, 클라우드 스토리지의 계정을 오랜 세월 감시하고 있던 것도 확인되었다.

미국의 메릭 B 갈랜드 법무장관은 이 기소에 대해, 「사법부는, 공무에 봉사하는 미국인을 협박하거나, 미국의 법률에 의해서 보호되고 있는 다른 의견을 가진자를 침묵시키거나, 미국의 기업으로부터 도둑질을 하는 중국 정부에 의한 움직임을 허락하지는 않는다」라고 말하고 있다. 이 사건은 중국 정부가 중국을 비판하는 사람들을 표적으로 삼아 위협하기 위해서라면 어디까지나 올 것임을 보여준다

APT31을 비롯한 중국의 사이버 공격 그룹은 미국에 대한 경제스파이 활동을 목적으로 수천 명의 미국과 외국 정치인, 외교 정책 전문가 등도 표적으로 삼아 왔다. 백악관과 국무부, 정부 고위관리와 관료의 가족도 표적이 되어 있다.

그 이외에 해킹의 대상이 되고 있는 정보는, 중국에 영향을 주는 지정학적인 이벤트나 미·중의 경제적 긴장에 관련된 정보 뿐만이 아니라, 남중국해에 있어서의 해양 권리 주장에 관련되는 정보 등으로, 2019년의 홍콩의 민주화 항의 활동과 그 후의 탄압 등에 관련된 유럽과 미국의 움직임에 대한 사이버 공격도 이루어지고 있다.

이번에 영국 정부도 우한 XRZ와 倪高彬(Ni Gaobin)과 赵光宗(Zhao Guangzong) 등 2명에 대해 제재 조치를 결정한 바 있다. 영국 당국은 이들이 2021년 국경을 넘나드는 정치인들의 네트워크인 중국에 비판적인 영국 그룹 '대중정책에 관한 열국의회연맹(IPAC)'에 대해 e메일을 통한 사이버 공격을 했다며 2021년부터 2022년까지 발생한 영국 선거위원회에 대한 사이버 공격에도 관여하고 있다고 지적했다.

APT31의 타깃은 미국과 영국뿐 아니라 일본 등을 포함한 아시아 국가뿐 아니라 독일과 노르웨이, 핀란드 등 세계 각지로 확산되고 있다.

소장에는 그들의 수법의 예가 기재되어 있다. 예를 들어 倪高彬과 赵光宗은 2020년 7월 에스토니아가 거점이 된 무료 e메일 계정을 사용해 미국과 아시아 국가에 악성코드(부정한 프로그램)에 감염시키기 위한 링크를 포함한 e메일을 보냈다.

또 아시아에서는, 홍콩 등에서 신종 코로나에 관련하고 있다고 가장하는 첨부서류(PDF 파일)를 던 로드시키는 전자메일을 보내, 원격조작으로 PC를 빼앗을 수 있도록 하고 있었다.

중국계 사이버 공격 집단은 다수 존재하며, 각각 특정 타깃마다 나뉘어 조직적으로 공격을 실시하고 있다. 당연히 한국, 일본 등 동아시아를 노리는 담당 그룹도 있다. 전 세계적으로 공통의 위협 또는 적이 되고 있는 중국의 해킹 집단에 대해서는 앞으로도 주시해야 할 필요가 있다.