지난 3월 발생한 공개SW 개발자 커뮤니티인 깃허브(GitHub)를 대상으로 한 사상 최대 디도스 공격 탓에 5일 동안 사이트에 오류가 발생한 바 있다. 이 공격의 배경에는 중국 정부 차원 조직이 관련되어 있다는 지적이 나온 바 있다.

이런 가운데 미국 보안 기업인 파이어아이(FireEye)가 발표한 보고서에 따르면 아시아 태평양 지역을 중심으로 이뤄지는 대규모 사이버 공격에 중국 정부의 관여가 의심되는 조직인 APT30이 관련되어 있으며 그레이트 캐논(The Great Cannon. 만리대포)이라고 불리는 인터넷 공격 시스템의 존재가 밝혀졌다고 한다.





파이어아이 측은 70페이지에 달하는 보고서를 통해 APT(Advanced Persistent Threat)30으로 명명한 중국 내 조직이 기업 스파이 활동이나 기업에 대한 공격을 하고 있다고 밝히고 있다. 표적이 된 기업이나 단체는 밝혀진 것만 해도 인도와 말레이시아, 베트남, 태국, 네팔, 싱가포르, 필리핀, 인도네시아 등 다양하며 아세안 국가에 대해서도 유사 공격이 이뤄지고 있는 것으로 의심된다. 또 이런 배경에는 중국 정부가 관여하는 것으로 보인다는 것.

이들 공격은 지난 2005년부터 지속적으로 이뤄지고 있다. 파이어아이의 아태지역 CTO인 브라이스 볼란드(Bryce Boland)는 “중국 정부가 관여했다는 확실한 증거가 존재하지는 않지만 모든 징후가 중국을 가리키고 있다”면서 정부 차원의 큰 조직이 관여하는 것으로 보인다고 말했다. 또 아시아 지역에선 지적재산권 개발이 빠른 기세로 이뤄지고 있으며 이 분야가 새로운 전장터가 되고 있다고 덧붙였다.

앞서 밝힌 깃허브에 대한 디도스 공격과 같은 시기 중국 정부의 인터넷 검열을 피하는 도구를 제공하는 그레이트파이어오알지(GreatFire.org)를 대상으로 이뤄진 공격은 이 사이트가 호스팅하던 깃허브 페이지를 대상으로 한 것으로 보인다. 공격 표적 자체가 페이지에 중국 검열 시스템을 회피하는 기술과 관련 파일을 포함하고 있어 이를 방해하려는 공격으로 보인다는 것.





그레이트파이어오알지에 대한 조사에선 바이두 서버에서 반환된 악성코드가 공격에 이용됐다. 하지만 바이두는 회사 서버가 감염되어 있었다는 걸 부정하고 있다.

중국 내 인터넷 검열 시스템은 그레이트 파이어월(Great Firewall)이라고 불린다. 이 시스템은 중국 내 인터넷 정보를 검열하고 불편한 정보를 차단한다. 그런데 이와 반대의 개념, 공격 구조를 취한 그레이트 캐논(Great Cannon)의 존재로 밝혀졌다고 한다. 그레이트 캐논은 특정 IP 주소에 대환 트래픽을 빼앗아서 해당 내용을 마음대로 바꾸는 중간자 공격을 할 수 있는 능력을 갖췄다.

중국 내 인터넷 환경은 모든 내용을 그레이트 파이어월에 의해 도청된다. 중국에서 인터넷 검색을 하면서 천안문 같은 금지 키워드를 넣으면 검색 대상과 상대방 사이트에 RST, 그러니까 리셋 패킷을 보내 통신을 강제로 정지시키는 것 같은 조치를 취한다. 그레이트 파이어월이 보유한 방어 능력인 것.

반대로 그레이트 캐논은 통신 자체를 하이잭(hijack)처럼 해킹을 해 다른 사이트로 리다이렉션하거나 공격용으로 만든 악성 자바스크립트 파일을 보내버려 공격의 발판으로 삼는 공격 능력을 갖추고 있다. 시스템 화면과 조작 설명서 같은 건 모두 중국어로 표기되어 있다. 이 점에서도 중국이 관여하고 있을 가능성은 매우 높다는 지적이다.

이에 따른다면 자체 인터넷 환경을 구축한 중국 내 인터넷 검열 시스템이 지금까지는 방어에 치중했다면 이번에 새로 공개된 그레이트 캐논은 정반대인 공격 능력을 갖춘 것이라고 할 수 있다. 깃허브에 디도스 공격을 가하듯 불편한 상대방을 대상으로 한 공격 능력을 보유하게 된다면 또 다른 우려가 확산될 것으로 보인다. 관련 내용은 이곳, 보고서 원문은 여기에서 확인할 수 있다.

이석원 기자  lswcap@techholic.co.kr

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>