인터넷 통제 심한 중국, 매년 17조원 해킹 피해

데이터 보호 세계 표준 'TPM' 금지…감지된 보안사건만 1년새 417% 늘어

[아시아경제 이진수 기자] 최소 40만개나 되는 중국의 불법 해킹집단이 현지 경제에 연간 1000억위안(약 16조6000억원) 규모의 피해를 입히는 것으로 추정된다.

이는 미국 캘리포니아주 밀피타스 소재 사이버보안 업체 파이어아이의 중역 출신으로 현재 앤젤투자자로 활동 중인 정부의 조사결과다.

파이어아이의 브라이스 볼랜드 아시아ㆍ태평양 지역 담당 최고기술책임자(CTO)는 최근 블룸버그통신과 가진 회견에서 "중국에 어마어마한 온라인 범죄 생태계가 형성돼 있다"며 "현지의 개인ㆍ기업이 해커와 맞서는 데 큰 어려움을 겪고 있다"고 말했다.

글로벌 컨설팅 업체 프라이스워터하우스쿠퍼스(PwC)가 올해 중국ㆍ홍콩에서 영업 중인 외국ㆍ현지 기업의 최고경영자(CEO)와 정보기술(IT) 담당자 330명에게 물어본 결과 이들은 '감지된 보안사건'만 지난해 대비 417% 증가했다고 답했다.

여기에는 랜섬웨어(특정 시스템을 잠그거나 데이터 암호화로 사용할 수 없게 만든 뒤 풀어주는 대신 금전을 요구하는 프로그램) 등 악성 소프트웨어 심기, 데이터 탈취, 네트워크 침투가 모두 포함된다.

해커들은 대개 고객 데이터베이스, 기밀문서를 표적으로 삼는다. 이와 관련해 대중화권의 각 기업은 연간 평균 260만달러(약 28억8600만원)의 비용을 지출하는 것으로 알려졌다.

주중 미국상공회의소(中國美國商會)가 올해 기업 중역 및 IT 전문가 496명을 대상으로 조사해본 결과 이들 가운데 대다수는 다른 어느 지역보다 중국에서 데이터보안 위협이 더 심각하다고 밝혔다.

해커들에게 중국은 매력적인 표적이다. 위챗월릿(微信錢包)ㆍ알리페이(支付寶) 같은 모바일 결제 플랫폼, 인기 있는 소셜미디어 서비스와 연결된 상거래 소프트웨어가 어마어마한 중국 인구 사이를 급속도로 파고 들고 있기 때문이다.

PwC에 따르면 중국의 소비자 중 절반 이상은 자기가 들고 다니는 스마트폰이 핵심 결제수단으로 기능하리라 보고 있다.

게다가 중국에서는 와이파이 자동 연결이 흔하다. 핀란드 소재 보안소프트웨어 업체 F시큐어의 악성 프로그램 분석 전문가인 망게시 파살레는 "흔히들 공공 와이파이 연결의 실질적 관리자가 누군지 신경 쓰지 않는다"며 "중국 내 해커들은 미끼용 와이파이 접속 포인트도 만들어 여기에 스마트폰이 접속하면 그 스마트폰 속의 모든 정보를 들여다보곤 한다"고 경고했다.

중국ㆍ홍콩에서 감지된 기관 해킹 가운데 50%는 전ㆍ현직 임직원 등 내부자와 연관 있다. 지난 5월 중국의 한 해커는 왕젠린(王健林) 완다(萬達)그룹 회장, 그의 독자 왕쓰총(王思聰), 마윈(馬雲) 알리바바(阿里巴巴) 회장 등 현지 정ㆍ재계 고위 인사들의 주소와 주민번호, 학력, 결혼 여부 같은 개인정보를 '선펀정(@shenfenzheng)'이라는 이름의 트위터 계정에 공개했다.

이밖에 주요 성(省)의 성장들과 중국공산당 간부의 개인정보도 함께 유출됐다. 확인 결과 유출된 개인정보는 진짜였다.

문제의 계정 운영자는 계정 동결 전 "놀랐나? 생각 좀 해보길 바란다. 중국에서는 사생활이 아무 의미 없다"는 트윗을 남겼다. 그는 이어 "양배추를 사고 팔 듯 보통사람들의 개인정보를 쉽게 사고 팔 수 있다"고 덧붙였다. 여러 정황으로 볼 때 해커는 만연한 개인정보 매매 행위에 대해 경각심을 불러일으키려 한 것 같다.

PwC의 중국ㆍ홍콩 담당 보안 책임자 황징선(黃景深)은 "사용자 이름, 신상ㆍ신용카드 정보가 유출되는 경우를 흔히 볼 수 있다"고 경고했다. 웹사이트나 무역박람회에서 자기 신상 정보를 입력하면 얼마 안 돼 유출되는 경우가 심심찮게 발생한다.

미국 로펌 윌머헤일 베이징(北京) 사무소의 레스터 로스 파트너는 중국인 해커들의 목표가 두 가지라고 소개했다. 첫째는 기업이나 개인에게 빼돌린 정보를 고스란히 돌려주되 대가를 요구하는 것이다. 둘째, 특정 개인ㆍ기업ㆍ정부에 빼돌린 기밀을 파는 것이다.

볼랜드 CTO는 중국 정부의 인터넷 통제 노력이 자국민에게 되레 해가 되고 있다고 지적했다. 중국 정부는 최근 컴퓨터 핵심 데이터 보호의 글로벌 표준인 'TPM(Trusted Platform Module)' 마이크로칩이 탑재된 하드웨어와 모바일 기기의 판매나 수입을 한층 엄격히 금했다.

미중무역전국위원회(USCBC)의 제이크 파커 부위원장은 "TPM이 세계 표준인데 중국에서 이를 금했다"며 "그 결과 기업들은 데이터 보호에 낡은 혹은 신뢰도가 떨어지는 시스템을 사용하는 실정"이라고 밝혔다. 외제 IT 하드웨어가 배제돼 결국 보안이 허술해진 것이다.

대신 중국 정부는 자체 개발한 'TCM(Trustec Computing Module)' 칩을 내놓았다. 그러나 중국 표준과 국제 표준이 서로 맞지 않을 수 있다.

올해 안에 중국에서 '사이버보안법'이 발효되면 사용ㆍ판매 전 당국의 승인을 받아야 하는 하드웨어, 네트워크 장비, 서비스의 범위가 확대된다. 게다가 민감한 고객 정보 같은 기업의 정보들은 중국 내 서버에만 보관해야 한다.

미국 워싱턴 소재 IT 보안교육 전문기관 SANS시큐리티의 존 페스케이터 이사는 "중국이 사이버보안 기술 통제를 강화한다고 사이버보안의 질까지 높아지는 것은 아니다"라고 꼬집었다.

이진수 기자 commun@asiae.co.kr

<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>