단독-팔로알토, 중국 보복 우려에 해킹 캠페인에 中 연루 사실 비공개 결정

Raphael SatterㆍAJ Vicens

워싱턴, 2월12일 (로이터) - 이 문제에 정통한 두 사람에 따르면 팔로알토 네트웍스 PANW.O는 사이버 보안 회사 또는 그 고객이 중국의 보복에 직면할 수 있다는 우려 때문에 지난주 회사가 폭로한 글로벌 사이버 스파이 캠페인에 중국을 연결하지 않기로 결정했다.

소식통들은 지난달 로이터가 처음 보도한 바와 같이, 팔로알토가 중국 당국에 의해 국가 안보를 이유로 소프트웨어 사용이 금지된 약 15개의 미국 및 이스라엘 사이버 보안 회사 중 하나라는 소식 이후, 중국이 대규모 해킹 공격에 연루되었다는 팔로알토의 조사 결과가 번복되었다고 전했다(link).

팔로알토의 위협 인텔리전스 부서인 유닛 42가 지난주 목요일에 발표한 보고서 초안에서 'TGR-STA-1030'이라고 불리는 이 해커들이 중국과 연계되어 있다고 밝혔다고 두 관계자는 전했다. 완성된 보고서에서는 이 해킹 그룹을 "아시아에서 활동하는 국가와 연계된 그룹"이라고 더 모호하게 설명했다.

정교한 해킹의 배후를 지목하는 것은 악명 높은 일이며, 사이버 보안 연구자들 사이에서는 디지털 침입에 대한 책임을 가장 잘 지우는 방법에 대한 논쟁이 흔하다. 하지만 팔로알토는 지난 9월을 포함해 과거에도 해킹의 배후를 중국으로 지목한 적이 있으며(link), 소식통은 로이터에 유닛 42 연구원들이 풍부한 포렌식 단서를 바탕으로 새로 발견된 해킹 캠페인도 중국과 관련이 있다고 확신한다고 전했다.

소식통은 팔로알토 경영진이 소프트웨어 금지 조치에 대해 우려하고 중국 당국으로부터 중국 내 회사 직원이나 다른 곳의 고객사에 대한 보복을 당할 것을 우려하여 이러한 변경을 지시했다고 말했다.

소식통은 보고서의 결론을 완화하기로 결정한 임원이 누구인지, 변경 전에 보고서에 있던 정확한 표현을 제공했는지는 밝히지 않았다. 이들은 이 문제를 논의할 권한이 없기 때문에 익명을 전제로 발언했다.

완화된 표현에 대한 논평 요청을 받은 팔로알토는 로이터에 다음과 같은 성명을 발표했다. "어트리뷰션은 관련이 없습니다."

팔로알토의 글로벌 커뮤니케이션 담당 부사장인 니콜 호킨은 이후 로이터에 보낸 이메일에서 이 성명은 팔로알토 보고서의 어트리뷰션 부족이 "중국의 조달 규정"과 관련이 없으며, 이와 다른 제안은 "추측이자 거짓"이라는 점을 알리기 위한 것이라고 말했다. 그녀는 팔로알토 보고서의 언어 선택은 "이 광범위한 캠페인에 대해 정부에 가장 잘 알리고 보호하는 방법"을 반영한 것이라고 말했다.

워싱턴 주재 중국 대사관은 "모든 형태의 사이버 공격"에 반대한다고 밝혔다. 또한 해킹의 배후를 밝히는 것은 "복잡한 기술적 문제"이며 "관련 당사자들이 근거 없는 추측과 비난보다는 충분한 증거를 바탕으로 사이버 사건의 특성을 분석하는 전문적이고 책임감 있는 태도를 취하기를 희망한다"고 덧붙였다.

'그림자 캠페인'

보고서에 따르면 팔로알토는 2025년 초에 해킹 그룹 TGR-STA-1030을 처음 탐지했다(link). 팔로알토가 '그림자 캠페인'이라고 명명한 이 스파이 그룹은 전 세계 거의 모든 국가를 대상으로 광범위한 정찰 활동을 수행했으며 37개국의 정부 및 주요 인프라 조직에 침입하는 데 성공한 것으로 알려졌다.

중국의 이름은 언급되지 않았지만 팔로알토의 보고서를 자세히 읽은 독자들은 중국이 연루되었다는 인상을 받을 수 있다. 예를 들어, 연구원들은 해커들의 활동이 중국을 포함하는 GMT+8 시간대에 맞춰 이루어졌다는 점과 중국이 오랫동안 가시처럼 여겨온 티베트의 정신적 지도자 달라이 라마와 체코 대통령이 8월에 만난 이후 해커들이 체코의 정부 인프라에 집중한 것으로 보인다는 점에 주목했다. 이 보고서는 또한 해커들이 11월 5일 외교적 "방문"을 앞두고 태국을 표적으로 삼았다고 언급했다. 자세한 방문 내용은 보고서에 제공되지 않았지만 다음 주에는 태국 국왕이 처음으로 베이징을 국빈 방문했다 (link).

팔로알토의 보고서를 검토한 외부 연구자들은 중국의 국가 후원 스파이 활동으로 추정되는 유사한 활동을 목격했다고 말했다.

센티넬원의 수석 위협 연구원인 톰 헤겔은 "이는 중국과 관련된 광범위한 글로벌 캠페인 패턴의 일부로, 중국이 관심 있는 조직에 대한 정보와 지속적인 내부 접근을 모색하는 것으로 평가된다"라고 말했다.

팔로알토는 웹사이트를 통해 베이징, 상하이, 광저우를 포함해 중국에 5개의 지사를 두고 있다고 밝혔다. 전문 네트워킹 사이트 링크드인에는 엔지니어와 계정 관리자를 포함해 중국 전역에 70명 이상의 팔로알토 직원이 있다고 나와 있다.

한 학자는 이 사건이 사이버 보안 기업, 특히 전 세계에 진출한 사이버 보안 기업이 국가가 후원하는 사이버 스파이 캠페인을 신고할지 여부를 고려할 때 종종 직면하는 절충안을 보여준다고 말했다. 한편으로는 외국 스파이를 폭로하면 업계의 찬사와 긍정적인 여론을 이끌어낼 수 있다. 반면에 외국 정보기관과 얽히면 보복을 당할 수도 있다.

사이버 어트리뷰션의 역사를 연구해온 존스 홉킨스 대학교의 토마스 리드 교수는 "사람들은 항상 이름을 거론하며 위험을 감수해 왔다"라고 말한다. "항상 불쾌한 일이었고, 대기업처럼 현장에 사람이 있는 경우에는 추가적인 고려 사항이 있다. 현지 직원들을 위험에 빠뜨리는 것은 아닌가?"