네트워크 보안 전문가 조 스튜어트는 수년간의 추적 끝에 ‘중국사이버부대’ 소속 해커의 신상 파악에 성공했다. 해커는 정주시 해방군정보공학대학교, 정보공학학원 네트워크보안 교사 장장하이다. 미국 싱크탱크는 해방군정보공학대학교가 중국의 사이버정보사관을 교육하는 곳으로 보고 있다.
 
Dell의 네트워크 보안책임자 조 스튜어트는 2003년 좀비 네트워크 공격 및 대량의 스팸메일을 이용한 공격 사건에서 대패한 후 명예 회복을 위해 수년간 네트워크 범죄(은행계좌 해킹, 컴퓨터 계정해킹)와 맞서 싸워왔다.
 
그 후 2011년 조 스튜어트는 중국에 대해 관심을 가지고 중국의 악성 프로그램을 수집 및 분석하기 시작했으며, 현재 중국 악성 프로그램에 대한 보안 대응방법을 연구하고 있다.
 
최근 중국 해커들의 움직임이 업계 최고 관심사이다. 뉴욕타임스 공격사건과 2010년 구글 및 인텔 공격사건으로 중국해커들은 또 다시 주목 받고 있다.
 
중국 해커들의 공격은 지속적인 침입이 될 것으로 판단된다. 신기술, 정부기관, 언론사, 대사관, 대학교와 변호사사무소 등이 모두 중국 해커들의 공격 대상이다. 최근 워싱턴포스트 기밀정보 분석 결과에 따르면, 중국의 사이버 공격을 통한 정보수집은 지속될 것이라고 보도했다. 이러한 지속적인 공격은 이미 미국 경제까지 영향을 미친다.
 
조 스튜어트의 말에 따르면, 현재 중국 해커들은 이미 침입한 많은 웹사이트를 이용해 네트워크 스파이활동을 하고 있다고 한다.
 
2만4000여 개 도메인을 추적해 중국에서 전파되는 악성 프로그램을 분석한 결과, 대다수가 중국의 모 해커단체로 파악되었다. 그 중 약 10개 단체가 300개 이상의 악성 프로그램을 테스트하고 있는데, 매달 테스트하는 악성 프로그램의 수량은 배로 늘어나고 있다. 
 
인터넷 보안업체 관계자들은 이러한 중국해커의 대부분이 ‘중국사이버부대’ 소속이라고 추측하고 있다. 이들은 서로 다른 중국 정보기관의 지시를 받고 있을 것이다. 미국이 입수한 기밀정보 내용 중에도 중국해커들의 다수의 공격이 ‘중국인민해방군’과 관련이 있다고 한다. 물론 중국은 부인하고 있는 상황이다.
 
조 스튜어트 및 많은 보안전문가들이 중국해커들의 신분 파악에 집중하고 있다. 도메인 네임을 신청한 가명과 코드, 누적된 사이버 상의 신상정보, 커뮤니티에 게재한 자료 등 다양한 단서를 통하여 신분을 밝히려고 하지만 쉽지 않은 작업이다.
 
2011년 3월 조 스튜어트는 러시아와 동유럽 악성 프로그램을 분석하는 과정에서 새로운 악성 프로그램을 발견했다. 악성코드와 관련 지령을 분석한 결과 2004년 사건 당시와 동일한 hotmail 계정을 사용한 것을 발견했다. 게다가 모두 캘리포니아의 같은 도시를 지정하고 있었으며, 다수의 계정이 도시 이름을 sin digoo로 잘못 입력한 것으로 확인되었다.
 
중국 사이버 스파이 기밀자료에서도 2000개 이상의 주소가 모두 중국 통신사인 ‘China unicom’ IP인 것으로 드러났다. 조 스튜어트 역시 많은 해커들의 공격을 추적한 결과 같은 주소로 드러났다. 하지만 추적은 여기까지가 한계다. 구체적으로 어떤 해커인지 어느 단체의 소속인지는 알 수 없었다.
 
조 스튜어트는 3개월에 걸쳐 추적한 끝에 해커에 의해 감염된 좀비PC를 찾아냈다. 그리고 2012년 1월까지 전세계 각국에 분포된 좀비PC를 색출한 결과, 베트남, 브루나이, 미얀마의 정부기관과 석유회사, 언론사, 핵보안 기지, 대사관 등이 감염되어 있었다.
 
그밖에 계정 및 가입신청 메일 jeno_1980@hotmail.com을 단서로 추적한 결과 xxgchappy라는 또 다른 단서를 발견했고, 결국 rootkit.com이라는 웹사이트 도메인을 찾아냈다. 이 웹사이트는 악성 프로그램 집산지로 전세계 각국의 해커들이 많이 접속하고 있었다.
 
구글에서 장장하라고 검색하면, 2005년 컴퓨터 정보활동과 관련된 논문을 썼고, 2007년 windows rootkit 연구 등에 참여했다는 내용이 나온다. 게다가 장장하는 현재 중국인민해방군 정보공학대학교에서 일하고 있다.
 
장장하는 중국사이버부대 북경단체와 관련되어 있다. 이 단체의 회원은 수십 명으로, 프로그래머 및 절취한 문서와 데이터를 번역하기 위한 번역자도 있는 것으로 보인다.
 
조 스튜어트는 “해커의 신분이 밝혀졌지만 중국은 사이버 공격 작전을 중단하기는 어려울 것이다. 그리고 장장하는 중국의 방대한 사이버 조직의 일부에 불과하며, 증거를 하나씩 수집하다 보면 중국정부 역시 혐의를 부인하지 못할 것이다”고 말했다.
 
[뉴스제공. 씨엔시큐리티 / www.cnsec.co.kr]