본문 바로가기

벌새::Security

중국 정부의 인터넷 스파이 활동 - GhostNet

반응형
최근 토론토(Toronto) 대학의 Information Warfare Monitor 프로젝트를 통해 발표한 Tracking GhostNet: Investigating a Cyber Espionage Network 관련 내용은 중국 정부 또는 인민해방군의 인터넷 스파이 활동에 대해 언급을 하고 있습니다.(현재 시간 해당 프로젝트를 발표한 웹 사이트는 어떤 이유를 통해 사이트가 다운(Down)되어 있는 상태입니다.)

일명 GhostNet이라고 불리우는 스파이 시스템의 활동 방식은 다음과 같이 대략적으로 정리할 수 있습니다.

1. 특정 첨부 파일(PDF, DOC, PPT, XLS)을 포함한 이메일을 수신자가(를) 아는 사람이 발송한 것처럼 위장하여 열어보도록 함 - 이메일의 내용은 수신자가 사용하는 언어로 구성
2. 이메일에 첨부된 파일을 열었을 경우 스크린에 문서 출력과 동시에 Exploit 수행
3. 해당 악성코드는 숨겨진 원격 연결 트로이목마를 다운로드 시도

위와 같이 목표로 정한 특정인의 컴퓨터를 감염시켜 연구 자료에 의하면 103개국에 위치한 최소한 1,295대를 감염시켜 정보를 탈취하고 있다고 밝히고 있습니다.(한국의 경우 주중 한국 대사관이 포함되어 있다고 밝히고 있습니다.)


해외 보안업체에서의 반응은 대체로 연구에서 밝히고 있는 중국 정부와의 연관성에 대해 결정적인 증거가 없다는 이유로 실제 국내 기사에서 언급한 것처럼 중국의 인터넷 스파이 활동이라고 결론을 내리지는 않고 있습니다.

연구에서 중국 정부를 지적한 부분은 해당 GhostNet을 이용하는 시스템이 중국에 위치한 컴퓨터로 확인이 되었기 때문에 중국 정부나 산하 조직으로 추정을 하고 있지만, 일반적으로 각종 스팸 메일에서 사용되는 도메인, IP, 서버 등이 중국에 위치하고 있다고 중국 해커 활동이라고 말하기에는 어렵고, 특히 이번의 경우에도 중국 해커가 중국 정부의 승인 하에서 활동을 하고 있다는 증거는 발견된 부분이 없는 것으로 보입니다.

개인적인 생각에는 요즘과 같은 시대에 해커의 애국심보다는 금전적 이득을 노리고 접근하는 경우와 같이 수집된 정보를 이용하여 정보 거래를 통한 경제적 이득을 얻는 것이 현실이 아닐까 생각됩니다.

물론 중국, 미국, 러시아 등 강대국들은 자체적인 정보 수집(이런 부분 역시 해커와 다를바 없습니다.)를 통해 자국의 안보에 활용하는 현실임을 감안한다며, 구지 중국만을 최근 악의적인 정보 수집 국가로 낙인 찍는 것도 물음표를 던지고 싶습니다.

이런 조사 자체는 매우 긍정적으로 생각해 볼 필요는 있습니다. 이유는 국가 차원에서 이루어질 수 있는 정보 수집으로 인하여 개인의 사생활 침해 또는 기업의 기밀이 유출되는 것이 실제로 존재할 수 있다는 다양한 변수를 제공하기 때문이라고 생각합니다.

아무튼 이번 연구가 반드시 중국 정부의 소행이라고 단정적으로 생각하는 부분은 없었으면 합니다.

자세한 정보를 원하시는 분들은 해외 보안 관련 사이트를 둘러보시면 다양한 소스(Source)를 얻을 수 있을 것 같습니다.
728x90
반응형