[디지털데일리 이종현기자] 중국 기업·기관을 대상으로 한 해킹이 이뤄지고 있다. 공안이나 수자원부, 과학기술부 등 공공기관을 비롯해 인민은행, 텐센트, 알리바바 등이 피해 대상이다.

20일 <디지털데일리> 확인에 따르면 다크웹포럼에서 ‘런민비 작전(Operation Renminbi)’이라는 명칭으로 중국 기업·기관의 소스코드를 유출하는 행위가 이뤄지고 있다. 런민비는 중국의 화폐 단위로, 인민폐(人民幣)의 중국식 발음이다. 국내에서는 위완화로 통한다. 한국식으로 읽으면 ‘위완화 작전’이라는 의미다.

업로더는 AgainstTheWest(이하 ATW)라는 아이디를 사용한다. ATW는 스스로를 “우리는 독재적이고 부패한 정부와 국가에 원한(Grudge)을 가진 개인 그룹”이라며 “우리는 랜섬웨어 갱이 아니다. 중국, 북한 및 기타 국가에서 발생한 정부 유출에 대한 스레드를 게시하겠다”고 피력했다.

ATW의 첫 활동은 중국 인민은행에 대한 해킹이다. 지난 10월 22일을 중국 인민은행 내부 자산에 액세스할 수 있는 내·외부 소스코드를 판매하기 시작했다. 판매글을 올릴 당시 “여전히 작동 중인 공급망 공격 캠페인을 통해 업데이트된 네트워크에도 액세스할 수 있다”고 전했다.

인민은행 소스코드 판매로 다크웹포럼서 인지도를 얻은 ATW는 중국 공안부에 대한 정보를 1, 2부로 나눠 유출했다. 중국 질병통제예방센터나 수자원부, 천연자원부, 국가위생계획생육위원회, 국가에너지위원회, 보건부 등 공공기관 정보가 무더기로 업로드됐다.

기관만 대상인 것은 아니다. 텐센트나 알리바바 클라우드, 바이트댄스(틱톡 모회사), 소니 차이나, 화웨이 협력사 등 기업 관련 소스코드 등도 다수 판매한다.

눈길을 끄는 것은 싱가포르 인공지능(AI) 챗봇 업체 위즈 홀딩스(WIZ HOLDINGS) 소스코드 유출 건이다. 해당 기업은 해당 기업은 화웨이, 마이크로소프트(MS) 애저, 싱텔(Singtel), IBM 등의 협력사인데, ATW는 “화웨이의 정보만 유출한다. 우리는 서구에 기반을 둔 회사나 기업에 초점을 맞추지 않기 때문”이라며 중국을 대상으로 한 공격에 집중하려는 의지를 피력했다.

ATW는 지난 10월 22일부터 12월 18일까지 60여개 이상의 기업·기관 소스코드 판매글을 업로드했다. 이를 통해 다크웹포럼서 얻은 평판 점수는 2200여점이다.

국내 보안 전문가는 “ATW가 올린 글은 진짜라고 봐야한다. 해당 다크웹포럼은 평판 관리를 굉장히 엄격하게 한다. 유용한 정보를 올릴 경우 점수를 얻고, 가짜 정보라면 점수가 내려간다. 2000점 이상이라면 임팩트 있는 정보를 업로드했다고 볼 수 있다”고 밝혔다.

중국 기업·기관을 대상으로 한 ATW의 공격은 이후로도 지속할 것으로 보인다. ATW는 다크웹포럼뿐만 아니라 별도 다크웹(.onion) 사이트를 운영하고 있다.

한편 ATW는 중국 기업·기관을 대상으로 하는 해킹에 최근 전 세계적으로 논란이 된 아파치(Apache) 오픈소스 프로그램 ‘log4j’를 이용했다. 10일 다크웹포럼서 log4j 취약점의 위험성을 전하는 글에 ATW는 “우리는 중국 기업을 대상으로 여러차례 이 취약점을 사용했다”는 댓글을 남겼다.

이에 따라 정보기술(IT) 업계에서는 국내 기업·기관도 위험하다는 목소리가 나온다. 한국인터넷진흥원(KISA) 등에 따르면 현재까지 log4j 취약점으로 국내 기업·기관의 정보 유출은 신고되지 않은 상태다.

이에 대해 한 업계 관계자는 “전 세계가 피해를 보고 있는데 우리나라만 피해가 없으리라는 것은 지나치게 희망적이다. 기업 IT 담당자들은 주말까지도 log4j 취약점 관련 대응을 위해 동분서주하고 있다”고 전했다.