중국 슈퍼컴퓨터 해킹이 드러낸 한계
슈퍼컴퓨팅센터 해킹으로 유출된 10PB 데이터가 보여주는 것
중국의 국가 슈퍼컴퓨팅센터가 해킹당했다.
'FlamingChina'. 정체불명의 해커가 올해 2월 텔레그램에 올린 한 줄 선언이 시작이었다. 국가슈퍼컴퓨팅센터(NSCC) 톈진에서 10페타바이트(PB) 이상 데이터를 빼냈다는 주장. 1PB가 1,024 테라바이트다. 10PB면 고화질 영화 약 200만 편 분량이다.
CNN, 톰스하드웨어, 시큐리티어페어스 등 서방 매체가 일제히 보도했다. 복수의 사이버보안 전문가가 샘플을 검토한 뒤 진위 가능성을 인정했다. 센티넬원의 중국 전문가 다코타 캐리는 "샘플의 범위가 해킹의 범위와 폭을 보여준다"라고 평가했다. 사실이라면 역사상 최대 규모의 중국 해킹 사건이다.
중국 국가슈퍼컴퓨팅센터 해킹, 무엇이 유출됐나
NSCC 톈진은 단순한 컴퓨터센터가 아니다. 과학연구기관, 군사기관을 포함한 6,000개 이상의 고객에게 인프라를 제공하는 국가급 허브다. 유출된 것으로 추정되는 데이터 목록은 충격적이었다. 미사일 궤적 시뮬레이션, 항공우주 공학 모델, 핵융합 연구, 전투기 시험 데이터. 수년간 축적한 국방 핵심 연구가 통째로 암시장에서 거래되는 것이다. 프리뷰 샘플은 수천 달러, 전체 데이터셋은 수십만 달러에 암호화폐로 거래가 가능하다고 한다.
더 놀라운 건 공격 방법이다. 기술적으로 정교하지 않았다. VPN 취약점으로 들어가 봇넷을 심은 뒤, 6개월에 걸쳐 조금씩 빼냈다. 이른바 '로우 앤드 슬로우' 전략. 대량 전송 대신 여러 서버를 통해 소량씩 분산 반출해 탐지 시스템을 피했다.
NSCC 톈진 10PB 유출, 왜 역대급 사건인가
이 사건이 충격적인 이유는 따로 있다. 중국이 전력을 다해 밀어붙인 IT 국산화 전략의 심장부가 뚫렸기 때문이다. 중국 정부는 외국산 의존도 감축, 보안 확보, CPU·소프트웨어 산업 육성의 삼중 전략을 추진 중이었다.
특히 '신창 대체(信创替代)'. 2019년 공식 출범한 이 정책은 '2+8+N' 프레임워크 아래 당·정부 기관부터 시작해 금융·통신·에너지 등 8대 핵심 산업, 나아가 전 산업으로 외산 IT를 걷어내는 그림이다. 2022년 국자위 79호 문건에서 확실히 못을 박았다. 2027년 말까지 모든 중앙기업의 IT 시스템을 국산으로 교체하라는 문건이었다. 2026년 1월 1일부터는 한 단계 더 나아갔다. 정부 조달에서 중국산 제품에 평가가격 20%를 깎아주는 제도가 시행됐다. 중국산 부품 비중이 80%를 넘기면 공급자 전체에 우대가 적용된다. 같은 성능이라면 중국산이 25%까지 비싸도 이길 수 있는 구조다.
낯선 공식이 아니다. 중국은 이 방법을 태양광 패널, 배터리, 전기 자동차에서 이미 반복해 왔다. 시장을 닫아 자국 기업에 시간을 벌어주고, 보조금으로 규모를 키운 뒤, 시장 점유율이 확보되면 시장을 열었다. LFP 배터리 화이트리스트로 삼성 SDI와 LG를 밀어냈고, 30년간 자동차 합작법인 조건으로 기술을 뽑아냈으며, 전력 보조금으로 한국 태양광 산업을 지웠다. IT 인프라는 중국 정부가 정복하려는 다음 목표였다.
룽산·피텐·기린 OS, 중국산 IT 생태계는 어디까지 왔나
중국의 반도체/IT 산업 발전 정책의 성과는 무시할 수 없는 수준으로 높아졌다.
룽신(龙芯) 3A6000은 자체 설계 아키텍처로 인텔 10세대 수준의 실용 성능에 도달했고 주장한다. 피텐(飞腾)은 서버 CPU 1,000만 개 이상을 출하했다. 화웨이의 쿤펑 920 V200은 중국 통신 3사 서버 수십만 대를 교체하고 있다.
운영체제도 마찬가지다. 기린 OS(KylinOS) V11은 리눅스 커널 6.6 기반 상용 OS로 정부 부문 점유율 90%에 달한다. 오픈율러(openEuler)는 중국 서버 OS 시장의 36.8%를 차지한다.
완전한 자체 개발을 통해 달성한 실적은 아니지만, 오픈소스 위에 독자 생태계를 쌓는 현실적이고 효율적인 선택이었다. 화웨이는 리눅스 커널 기여에서 인텔을 제치고 1위를 기록했다. 오픈소스를 쓰되, 주도권은 쥐겠다는 의지다.
신창 산업 시장은 2023년 520억 달러에서 2027년 5,000억 달러 이상으로 성장할 전망이다.
국산화는 왜 보안을 보장하지 못했나
바로 이 지점에서 10PB 해킹이 칼날처럼 파고든다.
국산 CPU를 썼느냐, 외산 OS를 쓰느냐는 이번 사건의 핵심이 아니다. 공격자는 VPN 취약점이라는 가장 기본적인 틈으로 들어왔다. 시큐리티어페어스는 이 공격이 "기술적으로 정교하지 않았지만 매우 효과적"이었다고 평가했다. 하드웨어와 소프트웨어를 바꿔도 운영 보안이 허술하면 소용없다는 뜻이다.
'국산화 = 보안'이라는 등식이 허물어진 것이다.
보안을 명분으로 시작한 정책이 산업정책으로 작동하는 순간, 정작 보안은 뒷전으로 밀리고 기업들이 보조금을 확보하기 위한 전쟁으로 변하고 외형적 개발 목표를 달성해서 평가 기준을 달성하는 것이 보안과 같은 내부적 기초를 확보하는 것보다 중요하게 되는 것이다. 또한 보안을 위해서 중앙집중적으로 데이터를 관리하면 관리 비용을 절감할 수 있고 중앙 집중 관리가 가능하다는 장점이 있지만, 한번 보안 사고가 터지면 그 피해가 굉장히 커지게 된다. 10PB의 데이터가 단일 침입점을 통해 한꺼번에 노출됐다. 중앙집중형 인프라의 구조적 위험까지 드러난 것이다.
중국 당국은 4월 현재까지 공식 확인도, 부인도 하지 않고 있는데, 이런 중요한 사안에서 침묵은 긍정으로 해석될 수 있다.
#중국IT #중국국산화 #사이버보안 #중국해킹 #데이터유출 #슈퍼컴퓨터 #NSCC톈진 #VPN취약점 #중국산반도체 #보안정책 #중국굴기