인민해방군 61398부대가 중국 해킹의 비밀 전초기지라고 미국 뉴욕타임스(NYT)가 19일 보도했다. 신문은 그동안 미국 정부와 주요 기관, 회사들을 해킹해 온 이 부대의 본부가 상하이(上海) 외곽 다퉁로의 12층짜리 흰색 사무실 빌딩에 위치해 있다고 폭로했다. 중국의 해킹활동과 관련해 특정 조직의 이름이 공개된 것은 이번이 처음이다. 미국 해킹 피해자들 사이에서는 이 부대가 ‘코멘트 크루’ 또는 ‘상하이 그룹’으로 알려져 왔다.
중국의 해킹을 추적해 온 미 컴퓨터 보안회사 맨디언트(Mandiant)는 19일(현지시간) 60쪽짜리 보고서를 공개한다. NYT가 사전 입수한 이 보고서에 따르면 미국에 대한 해킹의 상당 부분이 이 빌딩이나 그 인근에서 비롯됐다. 건물 주변에는 레스토랑과 마시지숍, 와인 수입회사들이 있다. 맨디언트는 2006년부터 이 부대와 관련된 141건의 해킹 사례를 찾아냈다고 밝혔다. 다른 보안 전문가들은 수천 건이 넘을 것이라고 추정했다.
맨디언트는 ‘UglyGorilla’ ‘DOTA’라는 이름을 쓰는 해커 등을 추적했다. 보고서에 따르면 이 부대는 중국 기업 인수전에 나선 코카콜라의 협상전략을 빼내기 위해 해킹을 했다. 미 최대 방위산업체 록히드 마틴도 피해를 봤다. 최근에는 전력 스마트그리드, 가스 파이프라인, 수도 등 미국의 중요한 인프라와 관련된 회사에 집중하고 있다. 북아메리카에서 석유·가스 파이프라인의 60% 이상을 원격 접속하는 회사가 대상이 되기도 했다. 정부 데이터베이스를 보호하는 컴퓨터 보안회사 RSA도 희생자가 됐다.
16개 미국 정보기관의 합동 정보평가서도 중국 군인 또는 이들과 계약한 사람들이 해킹을 해왔다고 지적했다. 코멘트 크루를 추적해 온 다른 보안회사들도 이 그룹이 중국 국가가 후원하는 조직이라고 믿어왔다고 신문은 전했다.
중국군 공식 편제상에는 공개되지 않은 61398부대의 존재와 역할은 중국 국가기밀이다. 하지만 ‘인민해방군 총참모부 제3부 제2국’으로 사이버 스파이 최정예 부대로 알려져 있다. 미국의 ‘프로젝트2049연구소’ 2011년 보고서에는 미국과 캐나다의 정치·경제·군사 관련 정보 획득을 목표로 하는 최고의 조직이라 기술돼 있다. 오바마 정부는 이 부대의 존재를 알고 있지만 외교적으로 민감한 사안이어서 공개적으로 언급한 적으로 없다.
61398부대의 해킹 관련 보도에 대해 중국 외교부 훙레이(洪磊) 대변인은 19일 “일부 기초적 정보를 갖고 함부로 비난하는 것은 극히 무책임하고 비전문적인 행동”이라고 반박했다. 훙 대변인은 지난해 7만3000개의 해외 IP로부터 공격을 받았고 이 가운데 미국 것이 가장 많았다고 말했다.
미국은 이스라엘과 협력해 이란의 우라늄 농축 프로그램을 방해하기 위한 스턱스 소프트웨어를 사용하는 등 사이버 전력을 운용하고 있다. 하지만 미 정부 관계자는 기업 해킹이나 비군사적인 목표물의 공격용으로 사용하는 것을 엄격히 제한한다고 말했다. 한 미 국방부 관리는 “냉전 시 우리는 모스크바 인근 핵통제센터에 주목했지만 오늘날 우리는 상하이의 컴퓨터 서버를 주시하고 있다”고 말했다. 맨디언트는 최근 NYT가 자사에 대한 중국발 해킹 사건을 조사하기 위해 계약을 한 보안회사다.
한경환 선임기자
