테크플러스

중국 해커 집단이 일본과 한국 기업들을 사이버 공격 목표로 삼았다고 일본 경제매체 닛케이아시안리뷰가 1월 21일(현지시간) 보도했다.

​닛케이는 하루 앞선 20일 중국 해커 집단으로 의심되는 세력이 일본 미쓰비시전기를 해킹했다고 보도했다.

미쓰비시전기 내부 조사에 따르면 작년 6월 공격 당시 해커들은 8000명 이상의 사내 개인정보에 접근할 수 있었던 것으로 확인됐다. 현재 유출 우려가 되는 정보는 직원과 입사지원자 및 퇴직자 등의 이름과 주소, 전화번호 등의 개인정보다. 미쓰비시전기 본사와 주요 거점에 있는 120대 넘는 PC와 40대 이상의 서버에 부정 접속의 흔적이 발견됐다.

이외에도 일본 국방부와 환경부 등 10개 이상의 정부 기관 및 전력, 통신, 철도, 자동차 등 대기업에도 부정 접속 시도가 발견됐다. 미쓰비시전기가 국방, 전력, 철도 등 사회 인프라 사업을 전개하고 있기 때문이다.

현재 미쓰비시전기 측은 민감 정보나 기밀 정보 등은 유출되지 않았다고 주장하고 있다. 하지만 지난 6월에 발생한 해킹 사고를 반 년이나 지난 시점에 공개하면서 소극적 대응과 함께 비판을 받고 있다.

이번 조사에 가까운 소식통에 따르면 '틱(Tick)'이란 이름으로 알려진 중국 해커집단이 사이버 공격을 주도했다는 혐의를 받고 있다. 이 집단은 일본뿐만 아니라 한국의 IT회사들도 타깃으로 삼았다고 닛케이는 강조했다.

틱이 선호하는 해킹 방법은 우선 민간 시장조사회사(리서치회사)의 이메일 계정을 훔치는 것에서 시작한다. 그 후 해커들은 시장조사회사를 가장해 대상 기업의 중국 자회사에 이메일을 보낸다.

이메일에는 원격으로 제어할 수 있는 악성 프로그램이 포함되어 있다. 자회사의 컴퓨터 시스템을 디딤돌 삼아 해커들은 모회사 네트워크에 접속해 민감 정보를 빼낼 수 있다.

일본 도쿄의 사이버 보안회사 '트렌드마이크로'에 따르면 틱은 2018년 11월 악성코드 개발에 박차를 가한 후 더욱 활발하게 활동하고 있다. 해커들은 악성코드와 기타 툴을 지속적으로 수정하면서 사이버 보안 소프트웨어와 장치의 스캔을 피해나가고 있다.

심지어 해커들은 침입 흔적을 감추는 데도 능숙해졌다. 해킹 피해를 입은 회사가 공격을 발견하는 데 몇 년이 걸릴 수 있다. 이번 조사를 진행 중인 일본 정부 일각에선 해커들이 미쓰비시전기 이외에 다른 회사에도 손을 뻗쳤다는 우려가 나오고 있다.

이런 공격을 감행하는 해커 집단이 틱만 있는 것은 아니다. 2018년 12월 미국과 일본은 'APT10'이라는 해커 집단을 비난하는 성명을 낸 바 있다. 사이버 보안 전문가들은 APT10이 중국과 관련 있어 보이는 군 관리와 반체제 인사, 스파이 등의 정보를 집중적으로 수집해 중국 정부 지원을 받는 해커 집단이란 의심을 보내기도 했다.

일본 정부는 자국 기업에게 사이버 보안을 강화할 것을 촉구했고, 국방부는 계약업체들을 대상으로 보안 기준을 강화하고 있다. 향후 보안 수준이 미국 국방부가 요구하는 수준으로 높여질 것으로 전망된다.

테크플러스 에디터 김명희

tech-plus@naver.com