[뉴스콤 장태민 기자]
미국 법무부가 현지시간 5일 중국 정보기술 기업 '아이순'의 직원들을 기소했다고 발표했다.
법무부는 중국 국가안전부(MSS)와 공안부(MPS)가 미국과 우방국을 해킹하기 위해 민간 기업과 계약업자로 구성된 광범위한 네트워크를 활용하고 있다고 밝혔다. 아이순은 그런 해킹 회사 중 하나라고 설명했다.
그런데 아이순이 해킹한 것으로 의심되는 곳 중엔 한국 외교부가 들어 있어 충격을 줬다.
■ 2023년에 알려졌던 의심
지난 2022년 1월 외교부 정보시스템에 저장된 이메일 일부가 유출된 사실이 2023년 가을 뒤늦게 알려진 일이 있었다.
2023년 11월 외교부는 "지난해(2022년) 1월 공격 경로가 확인되지 않은 해킹 공격으로 우리 부 스팸메일 차단 시스템에 저장된 일부 파일 약 4GB 분량이 외부에 유출됐다"고 밝혀 충격을 준 바 있다.
당시 외교부는 유출 자료에 외교 기밀은 포함되지 않았다고 밝혔지만, 정보 계통에 익숙한 사람 중엔 곧이 곧대로 믿지 않는 사람들도 있었다.
외교부 발표처럼 스팸메일 시스템에만(!) 저장된 정보만 훔쳤다는 발표가 사실은 잘 신뢰가 가지 않았다.
2023년 가을 한국 외교부가 이같은 사실을 발표하자 왕원빈 중국 외교부 대변인은 "증거가 없다. 거짓 주장으로 다른 나라에게 먹칠을 해선 안 된다"며 사실무근이라고 주장했다.
이후 이번에 미국 법무부가 중국의 '한국 외교부' 해킹을 발표한 것이다.
지금은 미국과 중국이 주도하는 신제국주의 시대다. 그리고 21세기판 신제국주의 시대엔 반도체, AI 등 첨단기술이 핵심이다.
첨단 기술에서 뒤처지면 미래를 보장 받기 어려운 시기이기 때문에 어느 때보다 정보가 중요하다.
하지만 최근 수 년간 한국은 이상하리 만큼 '자국' 정보조직에 대해 억압적이었다.
한 베테랑 정보기관 요원 A씨는 최근 필자와 대화에서 지금의 상황을 이렇게 평가했다.
"답변이 주관적일 수 있지만 여전히 한국 정보기관들은 정상적인 시기의 30~40% 정도의 역할 밖에 못한다고 봅니다. 문재인 정부, 윤석열 정부 모두 정보 요원들이 일을 제대로 할 수 없는 세월이었습니다. 지금도 크게 달라진 건 없다고 봅니다."
지금의 국정원, 방첩사, 정보사 등 각종 국가 정보기관들이 이미 망가진 채 여전히 기능을 하지 못한다고 했다.
최근에 심심찮게 한국의 반도체 기술 등이 중국에 유출된 사례가 보도됐지만 그 처벌은 놀라운 정도로 미미했다.
첨단기술을 놓고 각국이 쟁패를 벌이는 와중에 한국은 너무 한가하다는 평가마저 나온다. 일선 경찰서마저 '정보 조직 약화'를 걱정하고 있다.
최근 만났던 서울 한 경찰서의 50대 베테랑 수사관은 이렇게 주장했다.
"경찰 쪽에도 놀라울 정도로 정보 담당업무가 축소됐습니다. 최근 몇년간 한국은 전방위적으로 정보 파트를 죽이는 정책을 썼습니다"
■ 정보는 경제다...한국은 지금이라도 '정보'에 대해 정신차려야
최근 한국의 기술 유출 문제는 매우 심각했다.
국내 반도체 대기업에 다니던 사람이 2010년대 말부터 중국 업체와 모의해 회사 기밀을 빼돌렸다는 식의 소식은 이미 한, 두 건이 아니었다.
또 국내에서 큰 돈을 받고 중국으로 넘어가 반도체 등 기술을 중국에 넘긴 사람들도 많았다.
반도체, 이차전지, 디스플레이 분야의 첨단 기술 뿐만 아니라 자동차, 기계, 화학, 전기 등 산업 전분야에서 중요한 기술들이 빠져나갔다.
그런데 처벌도 아주 가벼워 일반인들은 '한국의 미래가 달린 기술을 넘겨도 법원은 왜 이렇게 관대한가'라고 의구심을 표하곤 했다.
국정원은 2020년부터 2024년까지 5년간 산업기술 관련 국외유출 적발건수가 97건, 23조원에 달하는 것으로 분석한 바 있다.
그나마 이미 많은 능력을 상실한(!) 국정원에게 적발된 게 이 정도라니, 적발되지 않은 건수를 생각하면 그야말로 아득해진다.
A씨는 한국이 지금 이렇게 늑장을 부리고 있을 때가 아니라고 했다. 이미 많이 늦었지만 지금이라도 조직을 재정비해서 기업들의 기술이나 영업기밀 등이 유출되는 일을 제대로 막아야 한다고 했다.
이를 위해선 일단 간첩법 개정이 시급히 이뤄져야 한다.
간첩법은 체제의 안전 문제를 뛰어넘어 기술 보완 등 각국 경제의 미래와 밀접하게 연관돼 있다.
■ OECD 국가 중 간첩에 가장 관대한 나라, 한국
각국은 다른 나라가 자국의 기술을 탈취하는 행위를 간첩 행위로 본다.
지난 2023년 중국에선 한국 사업가가 반도체 기술을 유출했다는 혐의로 구속된 일이 있었다. 중국이 '한국인에게' 간첩죄를 적용한 것이었다.
하지만 한국에선 대기업 임원이 첨단 기술을 중국으로 유출해도 간첩죄로 처벌할 수가 없다.
정보의 중요성에 대해 한국 정치인만 무지한 듯하다. 희한하게 한국만 자국 기업 정보 탈취에 대해 너무 느긋해 고개를 갸웃하게 된다.
사실 한국의 간첩법은 주요 국가들 가운데 가장 형편 없다. 정치권은 마치 '스파이들이 뛰어놀 공간과 시간'을 더 벌어주기 위해 노력하는 것 같다.
간첩법 개정안은 형법 제98조에서 간첩죄의 적용 범위를 적국에서 외국 또는 이에 준하는 단체로까지 확대하는 것이 주요 골자다.
지금의 간첩죄는 '북한'만 대상으로 하기 때문에 중국인 등이 기술이나 각종 정보 탈취 행위를 해도 제대로 처벌할 수 없으며, 한국인이 북한 외의 지역으로 기술을 빼돌려도 제대로 응징할 수 없다.
한국의 간첩법이 얼마나 형편없는지는 OECD 국가들을 보면 알 수 있다. OECD 국가들은 간첩죄를 적국, 우방국 따지지 않고 적용한다.
미국, 중국, 독일, 대만, 영국 등은 자국의 핵심기술 유출에 대해 간첩죄, 국가보안법 위반 등으로 엄하게 처벌하고 있으며, 기술 패권 경쟁이 심화된 최근엔 처벌 강도를 더욱 높이고 있다.
우방국, 적국 가릴 것 없이 자국의 핵심 기술을 빼내어 경제에 타격을 주는 행위는 간첩법 등으로 엄격히 다스리는 게 글로벌 상식이다. 그런데 이 상식이 유일하게 통하지 않는 나라가 있다. 바로 한국이다.
■ 답답한 간첩죄 처리
사실 정치인들이 '간첩들'과 엮여 있지 않다면 간첩법 개정을 굳이 미룰 필요는 없어 보인다.
간첩법은 이미 지난해 법사위 소위에서 가결된 바 있다. 이후 전체회의도 10번을 넘게 했다.
하지만 무슨 사연이 있는 것인지 다시 법사위 전체회의에 올라가지 못하고 있다.
이 문제는 거대 야당이 앞서서 해결을 지어야 한다.
사실 최근 실질적인 '간첩행위'와 관련해 매우 중대한 사건들이 많았다.
작년 8월엔 정보사 요원들의 신분을 중국에 팔아넘긴 사건이 발각돼 많은 국민들에게 충격을 준 일도 있었다. 이런 요원들은 양성하기도 매우 어렵다. 또 이런 요원들의 정보가 다른 국가에 넘어가면 쥐도 새도 모르게 그 존재가 지구상에서 삭제될 수 있다.
하지만 중국에 군사정보를 팔아도 간첩죄로 처벌할 수 없는 나라가 한국이다.
작년엔 한덕수 국무총리가 국회에 나와 '국회가 간첩죄 법률을 심의해 달라'고 읍소하다시피 한 일도 있었다.
민주당도 간첩법 개정을 미룰 아무런 명분이 없어 보인다.
연초 정청래 민주당 의원(법사위원장)은 "민주당도 간첩법 개정에 반대할 이유가 없다. 산업 스파이를 잡는 문제와 관련해 예산에 반영한 바도 있다"고 말했다.
그 논리면 하루 속히 간첩법을 개정해야 한다.
하지만 당시 법사위원장은 "억울한 사람(피해자) 만들면 안 된다"는 토를 달았다. 당연한 말이다. 죄 없는 사람에게 억지로 간첩죄를 뒤집어 씌워선 안된다.
그런데 '억울한 피해자를 만들어선 안 된다'는 논리와 첨단기술 유출범을 봐 주자는 논리는 전혀 어울리지도 않는다는 사실도 명백하다.
거대 야당도 '간첩죄 개정 반대할 이유 없다'는 말만 할 게 아니라, 빨리 행동으로 옮겨야 한다. 액션이 미뤄지면 미뤄질수록 괜한 의심만 받을 수 있다는 점도 생각해야 할 것이다.
▲ 참고자료: 미국 법무부의 5일 발표 내용
Chinese Law Enforcement and Intelligence Services Leveraged China’s Reckless and Indiscriminate Hacker-for-Hire Ecosystem, Including the ‘APT 27’ Group, to Suppress Free Speech and Dissent Globally and to Steal Data from Numerous Organizations Worldwide,
Note: View the indictments in U.S. v. Wu Haibo et al., U.S. v. Yin Kecheng, U.S. v. Zhou Shuai et al. here.
The Justice Department, FBI, Naval Criminal Investigative Service, and Departments of State and the Treasury announced today their coordinated efforts to disrupt and deter the malicious cyber activities of 12 Chinese nationals, including two officers of the People’s Republic of China’s (PRC) Ministry of Public Security (MPS), employees of an ostensibly private PRC company, Anxun Information Technology Co. Ltd. (安洵信息技术有限公司) also known as “i-Soon,” and members of Advanced Persistent Threat 27 (APT27).
These malicious cyber actors, acting as freelancers or as employees of i-Soon, conducted computer intrusions at the direction of the PRC’s MPS and Ministry of State Security (MSS) and on their own initiative. The MPS and MSS paid handsomely for stolen data. Victims include U.S.-based critics and dissidents of the PRC, a large religious organization in the United States, the foreign ministries of multiple governments in Asia, and U.S. federal and state government agencies, including the U.S. Department of the Treasury (Treasury) in late 2024.
“The Department of Justice will relentlessly pursue those who threaten our cybersecurity by stealing from our government and our people,” said Sue J. Bai, head of the Justice Department’s National Security Division. “Today, we are exposing the Chinese government agents directing and fostering indiscriminate and reckless attacks against computers and networks worldwide, as well as the enabling companies and individual hackers that they have unleashed. We will continue to fight to dismantle this ecosystem of cyber mercenaries and protect our national security.”
“The FBI is committed to protecting Americans from foreign cyber-attacks,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “Today’s announcements reveal that the Chinese Ministry of Public Security has been paying hackers-for-hire to inflict digital harm on Americans who criticize the Chinese Communist Party (CCP). To those victims who bravely came forward with evidence of intrusions, we thank you for standing tall and defending our democracy. And to those who choose to aid the CCP in its unlawful cyber activities, these charges should demonstrate that we will use all available tools to identify you, indict you, and expose your malicious activity for all the world to see.”
According to court documents, the MPS and MSS employed an extensive network of private companies and contractors in China to hack and steal information in a manner that obscured the PRC government’s involvement. In some cases, the MPS and MSS paid private hackers in China to exploit specific victims. In many other cases, the hackers targeted victims speculatively. Operating from their safe haven and motivated by profit, this network of private companies and contractors in China cast a wide net to identify vulnerable computers, exploit those computers, and then identify information that it could sell directly or indirectly to the PRC government. The result of this largely indiscriminate approach was more worldwide computer intrusion victims, more systems worldwide left vulnerable to future exploitation by third parties, and more stolen information, often of no interest to the PRC government and, therefore, sold to other third-parties. Additional information regarding the indictments and the PRC’s hacker-for-hire ecosystem is available in Public Service Announcements published by the FBI today.
U.S. v. Wu Haibo et al., Southern District of New York
Today, a federal court in Manhattan unsealed an indictment charging eight i-Soon employees and two MPS officers for their involvement, from at least in or around 2016 through in or around 2023, in the numerous and widespread hacking of email accounts, cell phones, servers, and websites. The Department also announced today the court-authorized seizure of the primary internet domain used by i-Soon to advertise its business.
“State-sponsored hacking is an acute threat to our community and national security,” said Acting U.S. Attorney Matthew Podolsky for the Southern District of New York. “For years, these 10 defendants — two of whom we allege are PRC officials — used sophisticated hacking techniques to target religious organizations, journalists, and government agencies, all to gather sensitive information for the use of the PRC. These charges will help stop these state-sponsored hackers and protect our national security. The career prosecutors of this office and our law enforcement partners will continue to uncover alleged state-sponsored hacking schemes, disrupt them, and bring those responsible to justice.”
The defendants remain at large and wanted by the FBI. Concurrent with today’s announcement, the U.S. Department of State’s Rewards for Justice (RFJ) program, administered by the Diplomatic Security Service, announced a reward of up to $10 million for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act. The reward is offered for the following individuals who are alleged to have worked in various capacities to direct or carry out i-Soon’s malicious cyber activity:
Wu Haibo (吴海波), Chief Executive Officer
Chen Cheng (陈诚), Chief Operating Officer
Wang Zhe (王哲), Sales Director
Liang Guodong (梁国栋), Technical Staff
Ma Li (马丽), Technical Staff
Wang Yan (王堰), Technical Staff
Xu Liang (徐梁), Technical Staff
Zhou Weiwei (周伟伟), Technical Staff
Wang Liyu (王立宇), MPS Officer
Sheng Jing (盛晶), MPS Officer
i-Soon and its employees, to include the defendants, generated tens of millions of dollars in revenue as a key player in the PRC’s hacker-for-hire ecosystem. In some instances, i-Soon conducted computer intrusions at the request of the MSS or MPS, including cyber-enabled transnational repression at the direction of the MPS officer defendants. In other instances, i-Soon conducted computer intrusions on its own initiative and then sold, or attempted to sell, the stolen data to at least 43 different bureaus of the MSS or MPS in at least 31 separate provinces and municipalities in China. i-Soon charged the MSS and MPS between approximately $10,000 and $75,000 for each email inbox it successfully exploited. i-Soon also trained MPS employees how to hack independently of i-Soon and offered a variety of hacking methods for sale to its customers.
The defendants’ U.S.-located targets included a large religious organization that previously sent missionaries to China and was openly critical of the PRC government and an organization focused on promoting human rights and religious freedom in China. In addition, the defendants targeted multiple news organizations in the United States, including those that have opposed the CCP or delivered uncensored news to audiences in Asia, including China and the New York State Assembly, one of whose representatives had communicated with members of a religious organization banned in China.
The defendants’ foreign-located targets included a religious leader and his office, and a Hong Kong newspaper that i-Soon considered as being opposed to the PRC government. The defendants also targeted the foreign ministries of Taiwan, India, South Korea, and Indonesia.
Assistant U.S. Attorneys Ryan B. Finkel, Steven J. Kochevar, and Kevin Mead for the Southern District of New York and Trial Attorney Gregory J. Nicosia Jr. of the National Security Division’s National Security Cyber Section are prosecuting the case.
U.S. v. Yin Kecheng and U.S. v. Zhou Shuai et al., District of Columbia
Today, a federal court unsealed two indictments charging APT27 actors Yin Kecheng (尹可成) and Zhou Shuai (周帅) also known as “Coldface” for their involvement in the multi-year, for-profit computer intrusion campaigns dating back, in the case of Yin, to 2013. The Department also announced today court-authorized seizures of internet domains and computer server accounts used by Yin and Zhou to facilitate their hacking activity.
The defendants remain at large. View the FBI’s Wanted posters for Shuai and Kecheng here.
Concurrent with today’s announcement, the Department of States State’s Bureau of International Narcotics and Law Enforcement Affairs is announcing two reward offers under the Transnational Organized Crime Rewards Program (TOCRP) of up to $2 million each for information leading to the arrests and convictions, in any country, of malicious cyber actors Yin Kecheng and Zhou Shuai, both Chinese nationals residing in China.
“These indictments and actions show this office’s long-standing commitment to vigorously investigate and hold accountable Chinese hackers and data brokers who endanger U.S. national security and other victims across the globe,” said Interim U.S. Attorney Edward R. Martin Jr. for the District of Columbia. “The defendants in these cases have been hacking for the Chinese government for years, and these indictments lay out the strong evidence showing their criminal wrongdoing. We again demand that the Chinese government to put a stop to these brazen cyber criminals who are targeting victims across the globe and then monetizing the data they have stolen by selling it across China.”
The APT27 group to which Yin and Zhou belong is also known to private sector security researchers as “Threat Group 3390,” “Bronze Union,” “Emissary Panda,” “Lucky Mouse,” “Iron Tiger,” “UTA0178,” “UNC 5221,” and “Silk Typhoon.” As alleged in court documents, between August 2013 and December 2024, Yin, Zhou, and their co-conspirators exploited vulnerabilities in victim networks, conducted reconnaissance once inside those networks, and installed malware, such as PlugX malware, that provided persistent access. The defendants and their co-conspirators then identified and stole data from the compromised networks by exfiltrating it to servers under their control. Next, they brokered stolen data for sale and provided it to various customers, only some of whom had connections to the PRC government and military. For example, Zhou sold data stolen by Yin through i-Soon, whose primary customers, as noted above, were PRC government agencies, including the MSS and the MPS.
The defendants’ motivations were financial and, because they were profit-driven, they targeted broadly, rendering victim systems vulnerable well beyond their pilfering of data and other information that they could sell. Between them, Yin and Zhou sought to profit from the hacking of numerous U.S.-based technology companies, think tanks, law firms, defense contractors, local governments, health care systems, and universities, leaving behind them a wake of millions of dollars in damages.
The documents related to the seizure warrants, also unsealed today, further allege that Yin and Zhou continued to engage in hacking activity, including Yin’s involvement in the recently announced hack of Treasury between approximately September and December 2024. Virtual private servers used to conduct the Treasury intrusion belonged to, and were controlled by, an account that Yin and his co-conspirators established. Yin and his co-conspirators used that same account and other linked accounts they controlled to lease servers used for additional malicious cyber activity. The seizure warrant unsealed today allowed the FBI to seize the virtual private servers and other infrastructure used by the defendants to perpetrate these crimes.
On Jan. 17, Treasury’s Office of Foreign Assets Control (OFAC) announced sanctions against Yin for his role in hacking that agency between September and December 2024. Concurrent with today’s indictments, OFAC also announced sanctions on Zhou and Shanghai Heiying Information Technology Company Ltd., a company operated by Zhou for purposes of his hacking activity.
Private sector partners are also taking voluntary actions to raise awareness and strengthen defenses against the PRC’s malicious cyber activity. Today, Microsoft published research that highlights its unique, updated insights into Silk Typhoon tactics, techniques, and procedures specifically its targeting of the IT supply chain.
Assistant U.S. Attorneys Jack F. Korba and Tejpal S. Chawla for the District of Columbia and Trial Attorney Tanner Kroeger of the National Security Division’s National Security Cyber Section are prosecuting the case.
***
The above disruptive actions targeting PRC malicious cyber activities were the result of investigations conducted by FBI New York and Washington Field Offices, FBI Cyber Division, the Naval Criminal Investigative Service. The U.S. Attorney’s Offices for the Southern District of New York and District of Columbia and the National Security Division’s National Security Cyber Section are prosecuting the case.
The Department acknowledges the value of public-private partnerships in combating advanced cyber threats and recognizes Microsoft, Volexity, PwC, and Mandiant for their valuable assistance in these investigations.
The details in the above-described indictments and warrants are merely allegations. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law.
