맨디언트는 중국 해커부대의 해킹을 어떻게 입증했을까?

2012년 파이어아이 맨디언트 사업 부문에서 각종 해킹 사고에 중국 정부 지원을 받는 해커들이 배후에 있다는 내용을 담은 보고서를 낸 적이 있는데, 이걸 어떻게 입증할 수 있을지가 무척 궁금했더랬다.

해킹을 누가 했는지 정확하게 알아내는 것은 매우 어렵다는 것이 정설이다. 특히 국가 주도 해킹이라면 심증은 있어도 물증을 잡기가 불가능에 가까울 수 있다. 그런데도 맨디언트팀은 중국 정부 지원을 받는 해커들의 소행이라는 결론을 내렸다.

심증을 입증할 물증을 어떻게 잡았던 것일까?

뉴욕타임스 기자인 데이비드 E. 생어가 쓴 '퍼펙트 웨폰'에 이와 관련한 얘기가 있어 공유해 본다.

맨디언트는 의심이 되는 해커들 컴퓨터를 침투한 것 같다.

  100개가 넘는 기업을 고객으로 확보하여 1억달러의 매출을 자랑하는 사이버 보안 회사 맨디언트의 창업자 맨디아는 인민 해방군과 관련된 중국의 해킹 집단을 열심히 추적 중이었다. 그는 이 집단을 지능형 지속 공격이라고 불렀다. 이 어색한 명칭은 사이버 공간에서 일어나는 끈질기고 악의적인 공격을 식별하기 위한 업계의 전문 용어였다.

  맨디아는 이 해커들이 61398 부대 소속이라고 확신했지만 중국 군대를 직접적으로 거론하려면 결정적인 단서가 필요하다는 사실을 잘 알고 있었다. 7년이 넘는 세월 동안 그는 24개가 넘는 산업 분야에서 141개 기업이 받아온 공격 기록을 차곡차곡 모았다. 그러나 이 부대를 확실한 범인으로 지목하기 위해서는 물리적으로든 사이버 공간을 통해서든 그 흰 건물 안으로 들어가 증거를 찾아내야만 했다. 그러지 않고서는 인민해방군이 국영 기업을 위해 기술을 훔치는 일을 해왔다는 사실을 중국은 끝끝내 부인할 것이기 때문이었다.

  정보 장교 시절부터 맨디아와 함께 일해온 최고의 사이버 전문가들은 이 사실을 입증하기 위해서 새로운 방법을 시도했다. 그들은 IP 주소의 정확한 위치는 밝힐 수는 없었지만 실제로 해킹이 이루어지는 공간 내부를 들여다 볼 수는 있었다. 중국 해커들이 고객 회사의 네트워크에 침입하자마자 맨디언트의 조사 팀은 네트워크 뒤에서 해커들의 노트북에 달린 카메라를 작동시켰다. 그러자 그들이 책상에 앉아서 키보드를 두드리는 모습이 그대로 보였다.

  해커들은 전부 남자였고 대부분이 20대로 보였다. 그들의 행동은 세계의 수많은 젊은이들과 별도 다르지 않았다. 상하이 시간으로 오전 8시 반쯤에 나타나서 스포츠 경기 점수를 확인하고 여자 친구에게 이메일을 쓰고 가끔씩 포르노 영상을 봤다. 그러다가 세계가 9시를 가리키면 격렬하게 키보드를 두드리며 전 세계의 컴퓨터 시스템을 착착 뚫고 들어갔다. 그리고 점심 시간이 되면 다시 짬을 내어 경기 점수와 여차 친구와 포르노로 되돌아갔다.

  이것이 2012년에 케빈 맨디아 팀이 중국 해커들의 카메라를 통해서 그들의 실제 모습을 보게 된 사연이었다. 맨디아 팀이 추적을 용이하게 해준 해커들의 약점은 또 있었다. 중국에는 만리방화벽이라는 특수한 인터넷 검열 시스템이 있는데 해커들이 이 방화벽을 뚫고 자신들의 페이스북 계정을 확인한 것이다. 해커들이 타이핑하는 모습을 통해서 맨디아 팀은 그들의 이름을 알아낼 수 있었다.

저자는 이같은 상황을 신냉전체제로 규정한다.

  나는 맨디언트 팀원들 옆에 앉아서 61398 부대가 기업을 해킹하는 모습을 지켜본 적이 있다. 실로 엄청난 광경이었다. 그전까지만 해도 인민 해방군 장교라고 하면 견장을 단 제복을 갖춰 입고 마오와 함께 했던 영광스러운 옛 시절을 떠올리며 거만한 자세로 모여 앉은 나이 든 장군들을 상승했었다. 그러나 이들은 가죽 재킷이나 평범한 티셔츠를 입었고 마오와의 만남이라면 아마 톈안먼 광장에 있는 그의 묘지에 가본 적이 있는 정도가 전부일 것이다.

  이것이 바로 세계 최대의 두 경제 대국이 만든 신 냉전체제의 일상이었다. 과거 수십 년간 우리가 보아온 갈등과는 완전히 다른 모습이었다.