[디지털데일리 이종현기자] 페이스북은 24일(미국시간기준) ‘어스 엠푸사(Earth Empusa)’ 또는 ‘이블 아이(Evil Eye)’로 알려진 중국 해커 그룹에 대한 조치를 취했다고 발표했다. 이 그룹이 중국 신장 출신의 위구르족을 대상으로 사이버 스파이 전술을 펼쳤다는 것이 페이스북의 주장이다.

페이스북은 “어스 엠푸사 또는 이블 아이로 알려진 중국 해커 그룹은 터키, 카자흐스탄, 미국, 시리아, 호주, 캐나다 및 기타 국가에 거주하는 중국 신장 출신의 위구르족과 언론인 및 반체제 인사를 표적으로 삼았다”며 “이 그룹은 다양한 스파이 전술을 사용해 표적을 식별하고 장치를 악성코드로 감염시커 감시를 활성화했다”고 전했다.

또 “이 활동은 자원이 풍부하고 지속적인 작업이라는 특징이 있다. 악성코드 자체를 직접 공유하기 보다는 악성 웹사이트 링크를 보내는 형태의 방식을 취했다”며 “우리(페이스북)와 다른 회사가 그들의 활동을 방해하려는 행동에 대응해 여러 차례 활동이 느려지는 것을 확인했다”고 부연했다.

해커 그룹은 위구르어 키보드, 위구르 역사 등 특정인이나 특정 키워드를 빌미로 공격을 펼쳤다. ▲뉴스 웹사이트 해킹 및 사칭 ▲가짜 계정 생성 후 악의적 링크 유포 ▲악성코드를 포함한 가짜 애플리케이션(앱) 배포 ▲악성코드 개발 아웃소싱 등이 주요 활동이다.

글로벌 보안기업 파이어아이의 맨디언트 위협 인텔리전스 분석 담당 디렉터 벤 리드(Ben Read)는 “파이어아이는 귀구르 공동체와 다른 중국어 사용자를 겨냥항 사이버 공격을 발견했다. GPS 정보, SMS, 연락처 목록, 스크린샷, 음성, 키입력 등 광범위한 개인정보를 수집하도록 설계된 악성 모바일 앱을 이용한 것으로 관찰됐다”고 말했다.

이어서 그는 “이번 공격은 사이버 스파이 활동으로 위구르 소수민족을 자주 겨냥하는 중국 정부를 지원하기 위해 수행된 것으로 보인다. 여러 차례, 중국 사이버 스파이 공격자는 위구르족, 티베트족, 홍콩 민주화 운동가, 그리고 체제 안정에 위협이 된다고 생각하는 이들을 대상으로 모바일 악성코드를 활용했다”고 부연했다.

파이어아이에 따르면 공격은 최소 2019년부터 활성화된 것으로 추정된다. 피해자의 전화기에 장기간 지속되도록 설계돼 공격자가 방대한 양의 개인 데이터를 수집했다는 것이 파이어아이 측 설명이다.

<이종현 기자>bell@ddaily.co.kr