디지털 도난 시대의 가벼운 여행 (NYT)

120213디지털_도난_시대의_가벼운_여행.pdf

 

2012년 2월 10일

디지털 도난 시대의 가벼운 여행

니콜 펄로스

샌프란시스코 ― 브루킹스 연구소의 중국 전문가, 케네스 G. 리버설이 중국으로 여행갈 땐 첩보 영화에서 그대로 따온 듯 한 절차를 따른다.

핸드폰과 노트북은 집에 두고 나오는 대신 “임대” 장비를 가져간다. 그는 미국에서 출발하기 전에 이 기기의 내용을 삭제하고, 돌아오는 순간에 깨끗이 지운다. 중국에서는 블루투스와 무선 인터넷 기능을 끄고, 핸드폰은 절대로 보이지 않게 하며, 회의 때마다 핸드폰 전원을 끄고 배터리도 분리한다. 마이크가 원격으로 켜질 수도 있는 경우를 대비하는 것이다. 인터넷은 특정 코드로 이루어지고 암호로 보호되는 경로로만 연결하고, usb 하드 드라이브에서 암호를 복사해서 붙인다. 암호는 절대로 직접 치지 않는데, 그의 말에 따르면, “중국인들이 노트북에 타자 기록 소프트웨어를 설치하는 데 아주 능숙하기” 때문이다. 

한 때는 편집증 환자의 행동처럼 들렸을 지도 모르는 일이 이제는 구글이나 국무부, 인터넷 보안 대기업, 맥아피처럼 중국과 러시아에서 일을 하는 미국 정부 기관 관료를 포함해서 연구 단체와 회사에게 표준적인 수행 절차이다. 보안 전문가들에 따르면 이들 국가에서 디지털 첩보 활동은 정부 기밀 정보를 쫓든 기업 거래 기밀을 쫓든 간에 증가하고 있는실제적위협이다.

“만약 회사가 중국인과 러시아인이 관심을 갖는 중요한 지적 재산을 갖고 있는 상황에서 통신 기기를 가지고 그들 국가에 간다면 그 기기는 해킹 당할 것입니다.” 전직 국가 정보 지휘부의 정보 대응 담당 최고층 관료였던 조엘 F. 브레너 씨의 말이다.

거래 기밀 절취는 오랫동안 내부자들, 즉 기업 스파이나 불만에 찬 직원들의 소행이었다. 그러나 인터넷과 스마트 폰의 확산, 개인 기기를 직장 네트워크에 연결해서 사유 정보를 담아가려는 직원들의 성향으로 인해 정보를 원격으로 훔쳐가기가 더 쉬워졌다. 보안 전문가에 따르면, 해커들이 선호하는 방식은 직원들의 휴대용 기기에 침투해서 고용주의 네트워크에 접속하는 것이며, 이 경우 흔적을 남기지 않고 기밀을 절취한다.

해킹 공격의 목표물들은 그에 관해 논하기를 꺼리기 때문에 통계가 거의 없다. 보안 전문가들에 따르면, 대부분의 침입 사건은 피해 기업들이 밝힐 경우 주가에 끼칠 영향을 두려워하거나 어떤 피해 기업들은 애초에 해킹된 사실을 모르기 때문에 보고되지 않는다. 하지만 문제의 심각성은 2010년 미국 상공회의소에 있었던 한 사건으로 반증된다.

상공회의소는 그들을 비롯한 회원 기관들이 수 개월 간 사이버 절도의 피해자였다는 사실을 연방 수사국으로부터 듣고 나서야 알았는데, 그 내용은 중국 소재 서버가 중국을 자주 드나드는 아시아 정책 전문가들 중 네 명에게서 정보를 훔치고 있다는 것이었다. 상공회의소가 네트워크 보안을 정비했을 즈음에 해커들은 회원 기관들과 주고 받은 이메일을 최소 6주 분량 절취한 상황이었다. 회원 중에는 미국 최대 기업 대부분이 포함되어 있다. 그러나 이후에도 상공회의소는 사무실 프린터와 사택 중 한 집에 있던 자동 온도 조절기마저 중국 소재 인터넷 주소와 아직 통신 중이라는 사실을 발견했다.

상공회의소는 해커들이 그들의 시스템에 침투한 방법을 공개하지는 않았지만 공격이 있었던 후 그들이 취했던 첫 번째 조치는 직원들이“특정 국가”, 특히 중국에 갈 때 기기 소지를 금지하는 것이었다고 대변인이 말했다.

굿 하버 컨설팅의 사이버 보안 전문가 제이콥 올콧은 이런 조치는 중국으로 가져갔던 기기가 해킹 당했음을 시사한다고 말했다. “21세기에 중국에서 일하고 있다면 아무것도 가져가지 않는다는 점은 모두가 알고 있습니다. 그것이 ‘사업의 기초’이며, 최소한 그렇게 되어야 합니다.”

워싱턴 주재 중국과 러시아 대사관은 인터뷰 요청에 수 차례 불응했다. 하지만 구글이 2010년, 중국 해커들이 자사 시스템을 침입했다고 고발하자 중국 관료들은 이런 성명서를 전달했다. “중국은 우리 나라에 주재하는 외국 기업의 정당한 권리와 이익 보호를 위해 헌신하고 있습니다.”

그러나 미국의 보안 전문가들과 정부 관료들에 따르면 이런 국가들에서 통신 기기든 다른 수단을 통해서든 기업 네트워크를 침해하는 경우에 대한 우려가 갈수록 늘고 있다.

지난 주 국가 정보 총괄 책임자, 제임스 R. 클래퍼 씨는 상원 정보 위원회 청문회에서 중국과 러시아 소재 “주체들”에 의한 거래 기밀 절취에 대해 경고했다. 그리고 전직 국가 정보 총괄 책임자이자 현 민간 컨설턴트인 마이크 맥커넬 씨는 인터뷰에서 다음과 같이 말했다. “정부와 의회, 국방부, 우주 항공국, 가치 있는 거래 기밀을 가진 기업체에서 컴퓨터 시스템 현황 결과를 보면서 지금까지 지속적인 최첨단 위협으로 감염되지 않은 시스템은 조사해보지 못했습니다.”

중국과 러시아 모두 여행자들이 정부의 허가를 받지 않는 경우 암호화된 기기를 국내에 반입하는 것을 금지하고 있다. 보안 전문가들에 따르면 이들 국가 관료들은 미국을 방문할 때 휴대용 기기에 대한 해킹 방지를 위해 추가적인 조치를 취한다고 한다.

이제 미국 기업들과 정부 기관 및 조직들도 소지 금지 규정을 적용함으로써 그들과 같이 하고 있다. 하원 정보 위원회 의장인 미시건 주 공화당 마이크 로저스 의원은 위원회 위원들이 중국에 갈 때는 “비어 있는” 기기만 가져갈 수 있고 해외에 있는 동안에는 정부 네트워크 접속이 금지된다고 말했다. 그 자신의 얘기를 하자면 “전자적으로 벌거벗은 채” 여행했다고 한다.

국무부 직원들은 러시아와 중국에서 그들의 기기를 보호하는 방법에 대해 구체적인 교육을 받으며 매년 일반적인 보안 원리에 대한 정보를 받는다. 브루킹스 연구소의 리버설 씨는 중국에서 사업하는 기업들에게 조언한다. 그는 직원들이 집에 기기를 놓고 나와야 한다는 공식적인 정책은 없지만 “중국이나 러시아를 여행하는 직원들은 그렇게 하도록 확실하게 교육시킨다”고 말했다.

보안 회사인 맥아피에서는 어떤 직원이든 중국 경계에서 기기를 조사받으면 그 기기는 절대로 맥아피 네트워크에 다시 접속할 수 없다고 말했다. 영원히 말이다. “우리는 그런 위험을 감수하지 않으려는 것뿐입니다.” 부회장 사이먼 헌트 씨의 말이다.

매릴랜드 주 콜럼비아에 본사가 있는 무선 보안 시스템 전문 업체 에어패트롤 사 직원들은 중국과 러시아에는 임대 기기만 가져가고 절대로 블루투스를 켜지 않으며 마이크와 카메라는 항상 꺼놓는다. “우리는 결국 위험해질 것이라 가정하고 행동합니다.” 이 회사의 기술 최고 경영자이자 오바마 대통령의 사이버 보안 위원회 위원인 탐 켈러만 씨의 말이다.

구글은 회사의 내부 출장 정책에 대해서는 언급하지 않겠다고 했지만 익명을 전제로 말한 직원들에 따르면, 구글은 중국으로 민감한 데이터를 가져가지 못하게 하고, 대여 노트북만 가져가거나 돌아올 때 기기를 조사받도록 하고 있다.

연방 입법 위원들은 거래 기밀에 대한 사이버 도난 방지를 겨냥한 법안을 고려하고 있다. 이 법이 해외 출장에서 발생하는 문제들을 직접적으로 해결할 지는 확실하지 않지만 말이다.

그 동안 기업들은 주로 깨닫지도 못한 채 중요한 정보를 유출시키고 있다.

“중국인들은 경로를 감추는 데 아주 능숙합니다.” 전직 정보 대응 및 컴퓨터 침입 전문 FBI 요원인 스캇 에이켄 씨가 말했다. “대부분의 경우 기업들은 몇 년 후 외국 경쟁사가 자사 제품과 똑 같은 제품을 단지 30 퍼센트 더 저렴하게 생산하면서 출시할 때에야 복제 당했다는 사실을 깨닫습니다.”

“우리는 이미 제조 기지를 잃었습니다. 이제 연구 기지를 잃고 있어요. 그것마저 잃는다면 어떻게 합니까?”