마이클 슈브리지(Michael Shoebridge)
2021년 7월 유럽, 북미, 인도 태평양 전역의 30여 개 국가가 중국 공안부가 중국 해커, 사이버 범죄자와 협력하여, 기업, 정부, 기타 조직을 해킹하고, 귀중한 지적 재산을 훔치고, 랜섬웨어 공격을 실시했다는 사실을 폭로하고 규탄하는 데 동참했다.
여기에는 일본, 미국, 북대서양조약기구의 28개 유럽 국가는 물론 오스트레일리아, 캐나다, 뉴질랜드가 동참했다.
중국의 이러한 행동은 미국과 중국 간 전략적 경쟁의 일환으로 양국만 관련된 사안이 아니라 중국이 열린 사회에 체계적인 도전을 가하고 있음을 보여준다. 중국의 행동에 대응하며 긴밀히 협력하는 정부가 늘고 있다는 것은 놀라운 일이 아니다. 2021년 6월 영국 콘월에서 열린 G7 플러스 회의에서 중국을 규탄한 정부들이 다시 한 번 나섰다.
중국은 국가 차원 조치와 정부 및 해커 “생태계” 간 협력을 통해 노골적으로 피해를 주고 있다. 이는 전혀 새로운 움직임이 아니다. 그렇다면 어떻게 해야 하는가?
먼저 우리는 이것이 중국 당국이 중국 외부에서 활동하는 사이버 범죄자를 용인하는 단순한 문제가 아니라는 것부터 깨달아야 한다. 중국 정부는 사이버 범죄 커뮤니티와 협력하고 이를 통해 기업과 정부의 이해를 증진하고 다른 기업과 정부에 피해를 주고 있다. 이로 인해 2021년 7월에 중국을 규탄한 모든 국가와 그곳에서 활동하는 기업이 피해를 입고 있다.
여기에는 정부와 기업을 위한 네 가지 메시지가 있다.
첫째, 심각한 피해를 주는 중국의 행동에 담긴 함의를 인정하고, 평화로운 의도와 다른 관할권을 개입하는 것에 대한 혐오를 주장하고, 그로 인한 구체적인 위험과 피해를 생각해야 한다. 이는 모든 오스트레일리아 기업의 이사회와 CEO 차원에서 처리해야 할 문제다.
둘째, 정부와 기업은 2021년 7월 공동 성명을 지원하는 미국 및 파트너국 사이버 안보 기관이 수립한 상세 완화 조치를 실행하여 사이버 안보를 강화해야 한다. 이를 위해서는 크게 세 가지 작업을 수행해야 한다. 소프트웨어 패치를 최신 상태로 유지하여 취약성을 제거하고, 내부 시스템 모니터링을 늘려 네트워크 내에서 악성 및 의심스러운 활동을 탐지하고, 도메인 평판 서비스와 함께 안티바이러스 소프트웨어를 사용하여 악성 또는 의심스러운 소스에서 발생한 활동이 시스템을 손상시키기 전에 탐지해야 한다.
이러한 조치를 취하면 중국 공안부와 사이버 범죄 조직이 전 세계에서 시스템에 침투해 손상시키기 어려워질 것이다.
나머지 두 메시지는 훨씬 힘들고 더 중요하다.
글로벌 공격은 중국이 외국 디지털 기술, 즉 대부분의 선진국에서 사용하는 마이크로소프트 익스체인지 시스템을 해킹하는 것이다. 공격자들은 귀중한 정보는 물론 기업 및 정부의 중요 디지털 시스템이 가진 작동 취약성을 찾는다. 이는 심각한 문제다.
하지만 정부, 중요 인프라 운영자 또는 정부 기관이 중국산 디지털 기술을 사용했을 때 추가로 발생하는 엄청난 취약성을 고려해야 한다. 중국 공안부는 해커 네트워크 없이도 이들 시스템에 침투할 수 있다. 중국 기술 대기업의 확장에 대해 오스트레일리아 전략 정책 연구소가 발표한 일련의 보고서에 따르면 공안부는 정식적인 경로로 들어가, 중국 디지털 시스템을 사용하는 정상적인 비즈니스 운영에서 생산된 데이터에 접속하고 그러한 데이터를 사용하며, 필요하면 중국 업체와 운영자에 비밀 협력을 강요할 수 있다.
따라서 기업과 정부는 디지털 기술과 소프트웨어 채택에 대한 결정을 내릴 때 비용, 성능, 구현 편리성 같은 일반적인 비즈니스 요소와 더불어 심각한 위험 요소를 고려해야 한다.
운송, 통신, 공중 보건 또는 전자 상거래에 관계없이 특정 중요 디지털 인프라 결정과 함께 국가 5G 및 디지털화 구상은 해킹 위험뿐만 아니라 디지털 공급업체와 운영 조직의 내재된 침해 위험도 고려해야 한다.
중국의 대규모 해킹 조직과 관련한 마지막 메시지는 개방 경제와 사회는 항상 고유한 취약성을 갖고 있으므로 해킹 조직의 공격을 어렵게 만들고, 중국(및 러시아, 예: 솔라 윈즈) 공격을 흡수하고, 우려를 표명하는 수밖에 없다고 인정하지 말아야 한다는 것이다.
공안부 지도자 및 요원 같은 중국 관료에 대한 집중 기소와 자산 동결을 강화하고 중국 사이버 범죄자를 고발하면 도움이 될 것이다. 오스트레일리아를 포함한 부패 방지법을 강화하는 국가가 느는 것도 문제 해결에 도움이 될 것이 분명하다. 하지만 이 자체만으로는 억제력이 충분하지 않다.
시진핑(Xi Jinping) 주석의 통치 하에 중국이 끼치는 체계적인 문제를 고려하면 중국이 내부 개혁을 추진하게 만들어야 한다.
중국의 디지털 생태계는 지저분하고, 조잡하고, 취약하다. 내부 개혁을 위해서는 많은 인력이 문제를 발견하고 수정하는 것은 물론 운영하고 감시해야 한다. 더불어 중국 공산당원이 아닌 13억 중국인에게 도달하는 조작과 검열을 거친 정보에 대해 중국 정권은 매우 취약하게 느끼고 있다.
2021년 7월 시 주석의 공산당 창당 100주년 연설은 시 주석과 다른 공산당 지도자들이 권력을 유지하기 위해 매일 투쟁하고 있다는 것을 상기시켰다. 따라서 시 주석은 중국의 정보 공간에서 “올바른 라인”만 제공하는 데 주력하고 있다.
러시아의 블라디미르 푸틴(Vladimir Putin) 대통령도 마찬가지다. 최근 발표된 국가 안보 전략에서 푸틴 대통령은 그의 서사에 도전하는 해외 사상과 정보의 위협 때문에 권력을 유지하는 데 “국내 전선”을 가장 위험하고 중요한 전선으로 인식하고 있다. 러시아가 다른 국가에 사이버 및 허위 정보 전력을 사용했다는 의견이 있었지만, 푸틴 대통령이 우려하는 가장 큰 위협은 러시아 사이버 및 정보 공간의 취약성이다. 시 주석도 전임자와 마찬가지로 불안감에 시달리는 것으로 보인다.
중국으로부터 자주 공격을 받는 정부는 협력과 독립적인 활동을 통해 라디오 프리 유럽 같은 중국 중심 체계를 구축하고, 디지털 시대의 강력한 접근법을 제작하고 사용하여, 중국 정부의 “만리방화벽”을 정기적으로 침범할 수 있다. 이를 통해 외부 정보와 논평을 제공하는 것은 물론, 홍콩 시민을 구타하고 임의 조사하는 중국 공안, 1989년 톈안먼 광장에서 중국 학생들을 학살한 인민해방군, 매일 위구르족 무슬림을 대규모 탄압하는 중국 공무원을 목격한 증언에 대한 영상을 공개할 수 있다.
마오쩌둥(Mao Zedong)의 대약진운동 중 발생한 대규모 사망자를 비롯한 중국 역사에 대한 건강한 정보도 정치 선전에 기반한 공격적인 민족주의자인 시 주석과 공산당 지도부에 타격을 줄 수 있다.
이것은 중국의 모든 문제가 사악한 외세에 의해 일어났으며 중국 공산당이 인민의 자애로운 수호자라는 역사적으로 터무니 없는 개념에 대한 부분적인 해독제를 제공한다. 행복하게 춤추는 위구르족이라는 조작된 이미지와 중국 공산당의 기타 탄압에 대한 침묵과 부인에 반하는 정보는 중국 국민에게 충격을 주고 외부 정보의 힘을 증폭할 것이다.
잠시였지만 2021년 초 중국 검열 기관에 의해 금지되기 전에 이러한 대화가 일어났던 클럽하우스 앱에서 알 수 있듯이 중국 본토, 타이완, 기타 지역의 사람들은 이러한 유형의 정보와 대화를 원하고 있다.
강력한 억제력의 일부로 중국 정부에 그들의 취약성을 알리는 방법을 모색할 때, 중국이 무수한 중요 인프라와 디지털에 취약점을 가지고 있다는 것을 알리면 유용할 것이다.
중국이 이러한 현실을 이해하고 그들이 알지 못하는 취약성에 대해 불안을 느끼면 시 주석과 기타 공산당 지도부를 실질적으로 제약할 수 있다. 이것은 미래의 사이버 억제력이다.
민주주의 국가가 이렇게 통합 대응하면, 오스트레일리아처럼 중국과 폭넓은 관계를 정상적으로 추진하면서, 중국의 국가 사이버 침해에 대해 공식적으로 언급하지 않는 정부 관행을 끝낼 수 있을 것이다.
중국 해커들이 염탐하고 은밀히 침략하는 한 중국과 신뢰에 기반한 “윈윈” 관계로 돌아갈 수는 없다.
중국의 국가와 범죄자 간 협력이 최근 공개되면서 사이버 안보 전문가와 관련 외교 기관이 더 많이 노력해야 하는 추악한 현실이 드러났다. 앞으로 중국의 체계적인 도전에 대한 국제 협력을 강화해야 한다. 더불어 디지털 공간이 중국에 유리하게 기울어지지 않았다는 것을 보여주어야 한다.
마이클 슈브리지는 오스트레일리아 전략 정책 연구소의 국방, 전략, 국가 안보 프로그램 책임자이다. 본 기사는 2021년 7월 20일 오스트레일리아 전략 정책 연구소의 온라인 포럼인 더 스트래티지스트에 처음 게재된 것으로 포럼 형식에 맞게 편집한 것이다.
