아래 글은 사실 2013년에 적은 글이다 .. 이미 이떄 부터 미중간 전쟁이 진행 중이었다.
그 실제적 발제는 다음과 같다.
=========================
미국과 중공간의 사이버전쟁이 점입가경으로 진입하고 있습니다. 양측주장이 첨예하게 대립되어 - "미국 은 중국정부와 함께 중국통신장비 업체가 스파이행위을 미국에서 하고 있다고 주장하고 있으며, 중공은 미국이 모든 해킹의 원천지 이다" - 라며 서로 한치의 양보도 없이 주장하고 있고 점점 그 갈등조짐이 심화되고 있습니다. 이런 갈등의 발단이 된 사건은 지난 2월 19일 미국 CNN은 중국 공안이 경계근무를 서고 있는 중국 상하이 한건물을,사이버전을 총괄하고 있다고 의심되는, 취재하다가 공안에 걸려 붙잡히는 사건으로 비롯 되었습니다. (아래 동영상 참조)
이 사건으로 중국-미국간 사이버전쟁이 실제 진행중인 것으로 전세계적으로 알려지는 계기가 되었고. 이후, 미국과 중국은 시간만 나면 상대방이 불법적으로 자국의 군사.산업.국가기관을 도청감시 하고 스파이행위를 했다고 격렬한 성토를 이어가고 있습니다. 한동안 잠잠 한가 했더니 이틀전에 또다시 전직CIA국장이 화훼이 통신장비를 통해 스파이활동을 해왔다고 성명서를 내게 하였고, 그즉시 화훼이 에서는 반박 성명을 발표하는 등 양측 기세가 수그려지지 않고,가열되는 양상을 보이고 있습니다.
< 前 CIA 국장 "화웨이는 中 정부 위한 스파이"-------2013.7.22 일자 >
전직 미국 중앙정보국(CIA) 국장이 중국 통신장비 기업인 화웨이(華爲)가 중국 정부를 위한 스파이 활동을 벌였다고 폭로했다.21일(현지시각) 영국 ‘가디언’지는 “마이클 헤이든 전 미국 CIA 국장이 호주 언론과의 인터뷰에서 ‘중국 화웨이사(社)가 자사 통신시스템에 수집된 광범위한 정보를 중국 정부와 공유했다’고 말했다고 보도했다.
훼이든 전 국장은 화웨이가 중국 정부를 위한 스파이 활동을 벌였다는 명백한 증거를 갖고 있다고 했다. 하지만 구체적으로 그 증거가 무엇인지에 대해서는 언급하지 않았다.존 서포크 화웨이 글로벌 사이버보안담당 임원은 “전 세계 통신수단 중 3분의 1 이상에 화웨이 장비가 들어간다”며 “(레이든 전 국장의 발언은) 근거 없고, 명예훼손의 성격이 짙은 발언”이라고 반박했다.
미국 연방의회는 지난해 10월 발간한 보고서를 통해 “화웨이가 공급하는 통신장비가 중국 정부의 스파이 활동에 사용될 가능성이 있다”며 “화웨이의 제품을 가급적 사용하지 말라”고 권고했다. 이 때문에 화웨이는 미국시장에서 시장진출에 어려움을 겪고 있다.중국 광둥성 선전(深?)에 본사가 있는 화웨이는 세계 최대 통신장비 업체로 최근 미국 유럽 등 선진국에 본격 진출을 시도하고 있다.
이러자 화훼이 에서는 즉각적으로 다음의 반박 성명을 발표하고 있습니다.
<화웨이, 전 CIA국장이 제기한 ‘중국 스파이설’ 일축>
By Juro Osawa
‘화웨이 테크놀로지스(이하 화웨이)’는 화웨이가 중국 정부를 위해 스파이 활동을 했다고 주장한 전직 CIA 국장의 발언을 강하게 부인했다. 화웨이는 이 같은 주장이 “터무니없는 모함”이며 사이버보안 이슈의 본질을 흐리는 시도라고 반박했다.
Associated Press
마이클 헤이든
미국 중앙정보국(CIA)과 국가안보국(NSA) 국장을 역임한 마이클 헤이든은 18일(목) 보도된 호주 경제지 ‘오스트랄리안 파이낸셜 리뷰(AFR)’와의 인터뷰에서 중국 선전에 본사가 있는 화웨이가 중국 정부를 위해 스파이 활동을 했을 가능성을 제기했다.AFR은 헤이든 전 국장이 ‘전문가적인 관점에서 판단할 때’ 화웨이가 중국 당국에 비밀 첩보를 제공했을 것으로 추정했다고 보도했다. 화웨이는 스웨덴계 에릭슨에 이어 세계 2위 무선통신장비업체다.
스캇 사익스 화웨이 국제언론담당팀장은 19일 발표한 이메일 성명을 통해 “이처럼 상투적이고 근거없는 명예훼손은 산업 스파이든 그 밖의 스파이 활동이든 문제의 핵심을 벗어난 슬픈 공작행위”라며 “우리는 다시 한 번 우리를 공격하는 개인이나 조직에게 구체적인 증거를 제시하라고 반박할 것”이라고 밝혔다.
AFR 기사에서 헤이든 전 국장은 서방 첩보기관들이 화웨이의 비밀활동에 관한 정보를 입수했다고 주장했다. 그러나 이 기사에는 첩보 활동에 관한 구체적인 증거는 포함되지 않았다.
미국 의회는 지난해 10월 발표한 보고서를 통해 중국 정부가 미국인들을 염탐할 수 있으니 화웨이 장비는 사용하지 말라고 미국 이동통신사들에 권고했다. 그 결과, 화웨이는 미국 이동통신 시장에서 사실상 배제됐다.
화웨이가 무선네트워크 장비시장에서 중요한 위치를 차지하는 영국에서는 보안 문제로 화웨이와 영국 정부 사이에 갈등이 빚어졌다. 헤이든 국장의 기사는 이런 분위기 속에서 보도됐다. 영국 정부는 18일 발표한 성명에서 ‘영국 이동통신 시장을 보호하기에 적절한 조치와 절차를 확실히 마련하기 위해’ 화웨이 사이버보안평가센터에 대한 감사를 실시할 예정이라고 밝혔다.
영국 의회 정보보안위원회가 올해 6월에 발표한 보고서는 화웨이가 영국 이동통신시장에서 활약하도록 허용했기 때문에 영국이 사이버공격과 중국이 후원하는 스파이 활동에 취약할지도 모른다는 내용을 담았다.
화웨이는 18일 별도의 성명을 통해 “영국 사이보보안 기준을 높이고 영국 소비자들에게 네트워크 기술의 혜택을 제공하자는 영국 정부와 영국 의회 정보보안위원회의 목표에 화웨이도 공감한다”며 “화웨이는 사이보보안을 개선하는 새로운 아이디어를 언제든 받아들일 준비가 돼 있다”고 주장했다.
화웨이는 미국 무선통신장비 시장에서는 점유율이 미미하나, 영국에서는 상당한 입지를 구축했다. 지난해 화웨이는 향후 5년간 연구개발과 부품 조달을 위해 영국에 20억달러를 투자할 계획이라고 발표했다. 화웨이는 지난달 영국 리딩에 새로운 본사를 오픈했다.
화웨이 통신장비 부문 최고기술책임자(CTO)인 리산치(Li Sanqi)는 지난달 월스트리트저널(WSJ)과 가진 인터뷰에서 화웨이가 지난 몇 년 동안 영국 정부와 BT그룹과 네트워크 보안 문제를 놓고 정기적으로 협의했다며 “영국 고객과의 관계가 앞으로 달라질 것이라고 예상하지 않는다”고 말했다.
화웨이는 전체 매출 가운데 70%를 해외에서 창출한다. 중국을 제외하고 유럽은 화웨이의 최대 시장이다.화웨이의 최근 성장세는 서방 경쟁사들을 앞질렀다. 지난해 화웨이의 순익은 32% 증가해 153억8,000만위안에 달했으며 매출은 8% 증가한 2,202억위안을 기록했다.
< 미중 사이버전쟁 폭로전의 시초가 된 사건 - CNN이 상하이주재 중국 해킹/사이버작전총국 을 취재하다가 안전요원에게 들킨 사건>
“ 중국 61398부대가 해킹 테러 온상 ”
NYT, 미 보안회사 보고서 공개
인민해방군 사이버스파이 부대
상하이 외곽 건물에 비밀 기지
미 방산·보안업체 등 141건 공격
인민해방군 61398부대가 중국 해킹의 비밀 전초기지라고 미국 뉴욕타임스(NYT)가 19일 보도했다. 신문은 그동안 미국 정부와 주요 기관, 회사들을 해킹해 온 이 부대의 본부가 상하이(上海) 외곽 다퉁로의 12층짜리 흰색 사무실 빌딩에 위치해 있다고 폭로했다. 중국의 해킹활동과 관련해 특정 조직의 이름이 공개된 것은 이번이 처음이다. 미국 해킹 피해자들 사이에서는 이 부대가 ‘코멘트 크루’ 또는 ‘상하이 그룹’으로 알려져 왔다.
중국의 해킹을 추적해 온 미 컴퓨터 보안회사 맨디언트(Mandiant)는 19일(현지시간) 60쪽짜리 보고서를 공개한다. NYT가 사전 입수한 이 보고서에 따르면 미국에 대한 해킹의 상당 부분이 이 빌딩이나 그 인근에서 비롯됐다. 건물 주변에는 레스토랑과 마시지숍, 와인 수입회사들이 있다. 맨디언트는 2006년부터 이 부대와 관련된 141건의 해킹 사례를 찾아냈다고 밝혔다. 다른 보안 전문가들은 수천 건이 넘을 것이라고 추정했다.
맨디언트는 ‘UglyGorilla’ ‘DOTA’라는 이름을 쓰는 해커 등을 추적했다. 보고서에 따르면 이 부대는 중국 기업 인수전에 나선 코카콜라의 협상전략을 빼내기 위해 해킹을 했다. 미 최대 방위산업체 록히드 마틴도 피해를 봤다. 최근에는 전력 스마트그리드, 가스 파이프라인, 수도 등 미국의 중요한 인프라와 관련된 회사에 집중하고 있다. 북아메리카에서 석유·가스 파이프라인의 60% 이상을 원격 접속하는 회사가 대상이 되기도 했다. 정부 데이터베이스를 보호하는 컴퓨터 보안회사 RSA도 희생자가 됐다.
16개 미국 정보기관의 합동 정보평가서도 중국 군인 또는 이들과 계약한 사람들이 해킹을 해왔다고 지적했다. 코멘트 크루를 추적해 온 다른 보안회사들도 이 그룹이 중국 국가가 후원하는 조직이라고 믿어왔다고 신문은 전했다.
중국군 공식 편제상에는 공개되지 않은 61398부대의 존재와 역할은 중국 국가기밀이다. 하지만 ‘인민해방군 총참모부 제3부 제2국’으로 사이버 스파이 최정예 부대로 알려져 있다. 미국의 ‘프로젝트2049연구소’ 2011년 보고서에는 미국과 캐나다의 정치·경제·군사 관련 정보 획득을 목표로 하는 최고의 조직이라 기술돼 있다. 오바마 정부는 이 부대의 존재를 알고 있지만 외교적으로 민감한 사안이어서 공개적으로 언급한 적으로 없다.
61398부대의 해킹 관련 보도에 대해 중국 외교부 훙레이(洪磊) 대변인은 19일 “일부 기초적 정보를 갖고 함부로 비난하는 것은 극히 무책임하고 비전문적인 행동”이라고 반박했다. 훙 대변인은 지난해 7만3000개의 해외 IP로부터 공격을 받았고 이 가운데 미국 것이 가장 많았다고 말했다.
미국은 이스라엘과 협력해 이란의 우라늄 농축 프로그램을 방해하기 위한 스턱스 소프트웨어를 사용하는 등 사이버 전력을 운용하고 있다. 하지만 미 정부 관계자는 기업 해킹이나 비군사적인 목표물의 공격용으로 사용하는 것을 엄격히 제한한다고 말했다. 한 미 국방부 관리는 “냉전 시 우리는 모스크바 인근 핵통제센터에 주목했지만 오늘날 우리는 상하이의 컴퓨터 서버를 주시하고 있다”고 말했다. 맨디언트는 최근 NYT가 자사에 대한 중국발 해킹 사건을 조사하기 위해 계약을 한 보안회사다.
한경환 선임기자
<스파이행위를 했다는 화웨이는 어떤 회사인가?>
통신장비 연구개발 및 제조, 마케팅에 특화된 기업으로서, 맞춤형 네트워크 서비스 제공으로 단기간에 이동통신 장비 사업자에서 에릭슨에 이어 두 번째 가는 회사로 성장하였다. 전세계 35개 업체에 통신장비를 납품하고 있다.
저가격을 무기로 기존의 통신 장비 업체들을 빠르게 밀어내고 있다. 이 때문에 결국 화웨이 때문에 캐나다의 통신장비 업체 노텔이 파산했다. 노텔은 화웨이와 ZTE 등 중국 장비업체들이 유럽과 북미의 3G 이동통신 시장을 빠르게 장악하는 데 속수무책이었다.
이동통신 설비(기지국, 라우터 등)를 주로 생산하는 회사이나, 휴대폰역시도 제조하고 있으며, T-Mobile등에 납품하고 있다. 주로 스마트폰 위주로 생산하나, 안드로이드 태블릿 컴퓨터 시장이 성장하면서 새로운 중고급형 태블릿도 발표하고 있다.
설립자가 중국 인민해방군 통신 장교 출신으로 화웨이는 중국 군부와 긴밀히 연관돼 있다는 의혹을 받아왔다. 화웨이가 안보에 위협이 될 수 있다고 판단한 각국 정부는 이 회사의 통신 장비를 도입하지 않는다. 미국, 유럽, 인도등 서방권에서 안보위협과 스파이 우려로 이 회사 통신장비의 반입을 막고 있다.
2003년 화웨이가 시스코가 보유하고 있는 스위치,라우터 등에 대한 지적재산을 불법 복제했다고 피소당했다.# 화웨이는 처음에는 빨뺌하다가 불법 도용을 시인했다.시스코의 프로그래밍 코드를 몰래 훔쳐 라우터 프로그램을 짜는 데 이 코드를 사용했다고 해명했다.
2012년 10월, 미국 하원은 화웨이와 ZTE를 조사한후, 이 회사가 중국군 사이버부대에 특별 네트워크 서비스를 제공했다며 미국 정부와 기업들이 이 회사의 통신장비를 사용할 경우 비상시 중대 안보위협에 노출될 수 있다고 경고했다.# 보고서는 “중국이 악성 하드웨어나 소프트웨어가 탑재된 통신장비를 활용해 전시에 미국 안보시스템을 마비시킬 수 있다”고 지적하고,“중국은 악의적인 목적으로 통신기업들을 이용할 수단과 동기가 있다”며 이들 장비를 도입하는 기업들에게 주의를 요했다.
중국의 해커가 십여년간 몰래 캐나다 경쟁기업 노텔사의 컴퓨터를 해킹해 직원들과 사장의 파일을 몰래 열람해 영업기밀과 기술을 훔쳐왔던게 밝혀졌다. 기밀 누출과 정보 활용에 화웨이가 배후에 있었다는 주장이 있었다. 화웨이는 노텔의 하드웨어와 심지어 메뉴얼까지 그대로 카피했었다고 한다. (참고로 현재 노텔사는 화웨이와 ZTE에 밀려 파산한 상태다)
Financial Times에 의해 공개된 중국 인민해방군의 문서에 의하면, 통신회사를 이용해서 외국 스파이 활동과 사이버 공격을 하는 방법에 대한 기술이 있고, 중국 인민해방군 산하 군사과학 연구원(the Chinese Academy of Military Sciences)의 백서에 의하면 "사이버 전쟁은 통신 분야에서 준비되어야 한다."며 그 작업에 대해 "(적국의 네트워크상에서) 훔치고, 바꾸고, 삭제하는 것"(“stealing, changing and erasing data”)이라고 기술했고, 그 목적을 "속이고, 방해하고, 분열시키고, 마비시키는 것"(“deception, jamming, disruption, throttling and paralysis.”)이라고 하였다, 동 보고서에는, 중국인민해방군은 민간 중국 통신 회사와 함께 작업하는게 증가시키고 있다고 하였다. Nanhao라는 중국의 한 통신장비 제조회사는 500명의 직원들이 민영회사에서 일하면서 "세컨드 잡"으로 중국 인민해방군 사이버 전투부대 구축에 도움을 주고 있다고 서술했다.
화웨이와 ZTE는 중국 정부와 중국 인민해방군과 연관이 되있다고 간주되고 있으며, 인도와 호주 정부는 이들에게 중요한 통신망 구축에 참가를 막은 적이 있다. 캐나다 정부도 화웨이를 안보상 위협으로 규정하고 정부 통신망 구축 사업에서 배제했다.
<중국vs미국 사이버 전쟁내막>
1. 왜 미국은 화훼이 장비를 자국수입 금지품목으로 지정했을까?
가. 배경과 그이유
미국 정부가 중국 통신네트워크 장비 구매를 금지하는 강공책을 펴는 것은 해킹 등으로 국가의 기밀 정보가 유출될 것을 우려한 때문이다. 장비 제작업체나 제작자가 장비 깊숙한 곳에 해킹프로그램을 설치해두고, 마음먹기에 따라 언제라도 이 프로그램을 작동시켜 정보를 유출해 갈 수 있다는 얘기다. 특히 일단 구축된 장비는 유지보수와 함께 지속적인 관리가 필요하고, 공급업체는 어떤 형태로든 구축된 기관의 네트워크에 관여하게 된다. 네트워크 장비공급업체가 한시간이면 자신들이 구축한 통신네트워크를 다 멈추게 할 수도 있다는 전문가의 얘기는 충격적이기까지 하다.
중국 화웨이와 ZTE 제품 수입을 금지할 움직임을 보였다. 이 업체들이 공급한 통신장비, 서버 등이 중국 정부의 스파이 도구로 이용될 수 있다는 이유다. 미 하원 정보위원회는 지난해 11월 조사에 착수했으며 최근 미국 안보에 위협이 될 수 있다고 보고 구체적인 제재 행보에 들어갔다. 로저스 의원에 따르면 정보위원회가 지난해 시작한 조사는 두 회사의 소프트웨어와 하드웨어에 보안이 제거된 비밀통로인 일명 `백도어(back door·뒷문)`가 존재하는지를 파악하는 데 초점을 맞췄다. 중국 정부가 이 두 업체 제품의 시장 점유율을 높이기 위해 의도적으로 보조금을 지급했다는 의심도 샀다고 전했다.
중국 정부가 양 사의 통신네트워크 장비에 중요 정보를 수집할 해킹 도구를 심어놨고 이를 미국 시장에 널리 확산시키기 위해 정부 자금을 보조금으로 지원해 제품 가격을 낮췄다는 주장이다. 중국 대표적인 통신장비 업체인 화웨이는 다른 나라에서도 유사한 혐의를 받았다. 올 초 호주 정부는 3800만달러에 달하는 전국 고속 인터넷 네트워크 설치 프로젝트에 화웨이 입찰을 차단했다. 2006년엔 인도에서도 유사한 사례가 있었다. 당시 인도 정부는 화웨이와 중국 정부의 밀착 관계를 우려하는 성명을 발표했다. 화웨이와 ZTE는 중국 정부의 과도한 보조금을 받은 적 없다고 주장했다.
즉, “중국 정부가 두 회사의 제품을 이용해 미국 업체와 정부기관의 주요 정보를 쉽게 빼내갈 수 있다”, 이발언의 의미는 [스파이행위의 확정적 증거]를 수집완료 했고 그근거로 발표했다 는 뜻입니다.
나. 저발언을 뒤받침 해주는 증거와 근거는 무엇인가?
그 물증이 바로 위 동영상에서 거론된 인민해방군 61398부대 실체공개 이다.
무슨말이냐 하면, CNN이 저 부대소재를 어떻게 알고 잠입취재를 할수 있었으며, 중국은 왜 CNN잠입취재를 극렬하게 방해 하고 취재하는 기자차량을 쫓아오면서 붙잡을려고 했을까 하는것과 그 이유가 과연 무엇이냐 하는겁니다.그동안 거론만 되었고 실체는 몰랐던 61398부대가 상하이에 존재하고 있음을 저 사건을 계기로 전세계에 만천하에 공개 되었다는 점이다.
그럼 누가 CNN에게 저 부대소재(주소지)지를 정확하게 알려 주었을까?
저건 미 CIA에서 의도적으로 CNN에게 알려주었다는 겁니다. CIA/NSA 말고 저 소재지를 밝혀낼 능력이 없으며 CNN이 저런 건물을 잠입취재할 생각조차 할수 없었을 겁니다.
.
그렇다면 CIA/NSA가 어떤 방법으로 저부대 소재지를 알게 되었을까?
ㅇ. 미국내 군사.산업정보등을 캐취하여 중국으로 퍼나르는 중국스파이 행위를 더이상 지켜 볼수만 없
다는 판단을 미국이 했다는 것. 그이유는 중국의 대미국 전략수정에 기인하는데 그 수정된 전략이
미국입장에선 그냥 놔둘수 없는 심각한 국가안보에 위협이 되는 수준이란 것이다.
ㅇ. 그 전략은 미국의 주요 군사.산업해킹에 국한 된 것이 아니라 국가기관에 걸쳐 전방위적 타깃으로
확산되는 것을 감지하고 이것이 나중에 마음먹기에 따라 특정한 D-day에 모든 국가산업 중추기관
들을 일시에 정지 또는 불능상태로 만들수 있는 사실을 미국이 최종확인 하게 되고 국가적인 대응전
략이 필요하다는 것을 깨닫게 됨
ㅇ. 그 결정적인 증거확보는 전국 국가공공기관(전력.은행.통신.경제 등의 국가중추기관,관공서)에 어
느국가 또는 단체 가 스파이행위를 하는지 알기위해 심어논'역스파이웨어' 라는 덫에 의해 확인 되
었던 것.
ㅇ. 중국은 미국의 이 '역스파이웨어' 에 걸려,여러 기관에 설치된 역스파이웨어들이 중국내 한장소에
집결되는 것을 미국이 알게 되었고 그위치가 바로 상하이에 소재한 12층짜리 흰색 사무실 빌딩(동
영상 참조)을 알게 되었다는 겁니다.
ㅇ. 그 역스파이웨어 로 부터 '리턴'되어 온것을 취합해보니 바로 미국에서 모든 국가공공기관(미국의
핵발전소, 지하철, 금융·정부 기관 등 핵심 시설)에 심어논 스파이웨어들(각각 기관에 심어
논 스파이웨어들 번호는 서로가 다르다) 로서 그 번호들로 부터 미국은 중국이 전방위적으로 미국
에 대해 사이버 전쟁을 벌리고 있다는 판단 을 하게 되었던 겁니다.
' 역스파이웨어' 란것이 무엇이고 어떤기능을 가지고 있느냐?
-. 어떤 파일(사진.문서.동영상 등)에 보이지 않게 숨겨져 있다가 그파일을 엑세스(access)한 순간 스
파이웨어가 동작시켜 놓은 프로그램( 각각의 서로다른 Operation Computing환경에서도 동작가능하
게 제작됨)
-. 이 파일을 열기전에 안티 스파이웨어등의 범용 바이러스/스파이웨어 탐지하지만 범용 소프트웨어
으론 감지 못하는 고정밀 최고수준의 스파이웨어 임
-. 이 파일을 열면 background 으로 개인컴/서버/중앙제어 시스템에 침투하여 잠복하고 스스로
process# 를 생성하여 시스템 전반적인 이력과 기초정보(중앙제어 이력내용과 IP address,OS종
류/하드웨어 종류) 등을 파악하여, 현 잠복 된시스템의 IP Address와 수집발췌한 정보을 사전에
약정된 주소로 보낸다.( 이 리턴된 Frame 도 process#에 의해만들어 진다)
-. 이 Frame 의 destination address 는 리턴 되어야 할 미국내 정보기관 1차접수처 주소 이다.
이곳에서 다시 'Encapsulation' 되어 2차 접수처 거쳐 전송 하던지 또는 직접 최종도착지로 옮겨
지게 된다.
<<중국 역시 같은방법으로전세계적으로 분포한 자신의 접수처: 중국산 네트웍 장비가 될수 있
고,기관의 서버 일수 있다. 이렇게 전세계에 걸쳐 넓게 분포된 1차접수처를 경유하여 2차,3
차를 경유해서 최종 도착지인 저 상하이(上海) 외곽 다퉁로의 12층짜리 흰색 사무실 빌딩
로 집결 시켰던 것이다.
경유시킬때, Encapsulation부분은 경유지를 거칠때 마다 달라지지만, 계층7에서 생성된
Datagram속에 '역스파이웨어'는 그대로 옮겨지게 되고 중국이 저것을 오픈할때 비로서 역
스파이웨어에 의해 자신의 시스템이 감염될줄은 꿈에도 몰랐던 것이다.>>
저게 가능한 이유는 저 사이트를 접속하는 모든사람들의 행위 즉, 로긴 부터 로그오프 할때까지 모든
행위들이 그대로 중국으로 전송되어 졌다는 것이다. 로긴 할때 사용하는 아뒤,패스워드 부터, 사용자
의 보안등급에 따라 엑세스되는 모든 비밀문서 종류별 내용들이 고스란히 전송되 버린것이다.
저 방식으로 중국은 미국의 주요군사비밀 사이트,산업체 중요기술연구소,산업단지 등등을 모조리 탈
취 해나갔다는 것이 정설이다. 그래서 미국이 발표하는 군사무기들이 몇년 지나지 않아서 중국에서
카피된 것이 곧이어 발표되는 것이 납득이 되는것이다.(형상뿐 아니라 기술수준까지 동등수준인,
물론 본다고 다 이해가 되는것이 아니지만 기술문서를 그대로 보면 이해 접근도가 휠씬 빨라지는것
은 불보듯 뻔한것이다.)
-. 미국은 리턴된 Frame를 통해 최소한 다음의 정보를 얻게 되었을 겁니다.
1). 중국의 해킹대상이 된 미국정부기관이 어떠한 기관들 인지
2). 중국이 역스파이 웨어를 개방시킨 장소가 어딘지(ip address를 통해 중국내 어느지역인지 알수있다)
3). 리턴된 payload의 정보내용 분석에 따라 계속적으로 감시.탐지.공격을 해야 할 장소인지 여부를 조사하고 다음단계로 진행한다.
-. 미국은 역스파이웨어에 의해 수집된 정보를 가지고 제2단계 공격을 감행 한다.
1). 심어논 process# 에게 부가적 기능을 부여(초기잠식 되는 순간엔 발각가능성을 검토해서
발각되어도 단순 상용 스파이웨어 수준으로 보이게끔 알아내도 이 프로세서 능력을 하위수
준으로 판단하게끔 유도)
2). 일정한 시일이 경과된 이후, 기생(寄生)착상 완료단계가 되면, 본격적인 스파이웨어 기능으
로 엎그래드 시킨다.(이경우 母기지와 communication를 통해 이식진행 한다)
3). 엎그래이드 된 버젼으로 본격적인 적국 컴퓨터시스템 및 네트웍 구조를 배우고 인식한다.
또한 수시로 모기지로 입수정보를 전송한다.
4). 모기지에서 분석된 자료를 통해 다음의 지시사항을 받게 되어 점차 내부 핵심적인 시스템에
근접 되어간다.
5). 네트웍에 접속된 핵심서버의 super user 아뒤와 패스워드를 획득 하게 하고, 이를 통한 시
스템 좀비화 완료한다.
6). 네트웍이 발각될 경우를 상정해서 하위그룹 또는 네트웍자체에 스파이웨어를 이식 완료시
킨다.(구체적경위 생략)
이 상태가 되면 이 기관의 전체 컴퓨터환경 과 네트웍 환경이 죄다 알려지게 된다.또한, 하위구조 시스템과 연결된 동등레벨의 또다른 시스템들 과 위치등도 죄다 파악한다.즉, 정보기관 컴퓨터네트웍에 연결된 모든 국가기간 망과 기관들이 죄다 노출된다는 뜻이다.
상기 동영상에 나온 중국 기관은 위 설명되어진 바와 같이 모든 것을 알아낸 뒤에 미국이 전략적 결정에 의해 CNN에게 알려졌다고 판단된다. 즉 이미 알건 다알고 난뒤 중국에게 경고를 하기 위한 폭로라고 보여진다. 중국이 대대적인 시스템 복원을 하거나 하드웨어적인 제거를 하더래도 이미 때가 늦은경우에 해당한다는 뜻이다.
2. 중국의 미국 침투능력과 미국 군사.산업 기간망에서 정보수집 시나리오
미국은 최우선적으로 수집된 초기 데이타를 가지고 어떻게 미국 주요기관들에서 스파이웨어가 이식 되었는지를 조사하기 시작했을 것이다. 인트넷과 분리된 기간 내부망(intraNet)의 서버아뒤와 패스워드 즉,'back-door' 가 어떤수단으로 열려졌을까 에 총력집중 해서 조사하게 된다.
여러가지 경우를 두고 수집된 정보를 가지고 다각적으로 검토한 뒤 내린 결정은 '사람에 의한 것'보다는 '네트웍통합 도움과 국가적 해커들 개입에 의한것'으로 판단하게 되고 각기관에 설치된 컴퓨터 환경과 주변 네트웍에 대해 조사를 시작 하게 됩니다.
가. 모니터링 장치를 설치 함
이 장치는 네트웍topology 에서 미국밖으로 나가는 모든 프레임 (FRAME)을 수집함. 이것으로 일단 모든 외부로 나가는 프레임중에 특정국가로 나아가는 종류의 프레임을 먼저 분류해서 어디에서 복제 되는지를 조사집중 하게 됩니다.
위 그림에서 외부망 클라우드(인터넷망으로 나가는)로 나가는 곳에 네트웍모니터를 설치하여 들어오고 나가는 모든 Frame를 복사하여 나가는 Frame중 하나의 payload를 두개이상으로 카피된Frame를 구분발췌하여 따로 수집한다.
이중화 된 Frame이 어디에서 생성되는지 여부를 조사파악 하여, 서버에서 스파이웨어에서 부터 인지, 네트웍 장비에서 부터인지 조사하여 그것이 중국에서 제조된 네트웍장비(L2,L3,L4스위치 : 화훼이,ZTE)이라는 것을 알아냄.
이런 수법으로 내부망(외부 인트넷망과 분리된: 하드웨어적으로 완벽하게 분리되지 않음,완전한 하드웨어 분리는 업무효율상 불가능에 가까움 그이유는 각기관이 전국에 걸쳐 분산되어 있기 때문=> 은행의 경우예를 들어보면, 중앙본사 와 연결된 각지역에 있는 지사들과 연결된 망이기에 분리 불가능함)의 핵심서버시스템 접속하는 아뒤와 패스워드를 알게 되고 그담으로는 그 서버에 있는 모든 자료들이 모두 복사되어 중국으로 전송되게 하는 구조임을 밝혀냄
실험실(Lab.)에서 중국산 네트웍 장비를 정밀하게 조사하여 모든 기능들을 파악하고 확실한 증거를 캡춰하고, 이런 스파이기능이 탑재된 장비가 어디에서 납품되었던 것인지, 어떤경로로 수입된 것인지 전체 이력들을 완벽하게 파악해 냄.
이것으로 전국적 으로 확대적용 하여 모든 중국산 네트웍 장비들이 같은 행위를 하는것을 알게 되고 미국정부에 보고된 것으로 보임.
나. 중국 네트웍 장비에서 어떻게 Frame를 이중화 시켜 중국으로 보냈을까?(예시)
Encapsulation 과정
네트웍 상에서 하나의 지점에서 다른 지점으로 메시지를 전송하기 위해서는 Encapsulation 이란 과정을 거치는데 이것은 통신네트웍에 공통으로 적용되는 규약(protocol)입니다. 네트웍 종류와 Topology에 따라 다양한 계층을 처리하는 시스템이 적용되는데 이들은 요구되는기능에 따라 최고 계층7 까지 가능하게 제조 되었다.이들 장비들의 각각의 계층(layer)에서는 서로 다른 프로토콜들이 적용되는데 각각의 계층으로 옮겨질때 마다 하나에서 다른 것으로 캡슐화됩니다. (아래그림 참조)
IP Datagram은 이더넷 프레임의 payload data에서 캡슐화됩니다. TCP Segments 또는 UDP Datagrams 은 IP Datagrams의 payloaddata에서 캡슐화됩니다.끝으로, CIP 프로토콜은 캡슐화 프로토콜을 사용하여 TCP Segment/UDP Datagram의 payload data에서 캡슐화됩니다.
1). 각 layer별 Encapsulation되는 과정
-. 최상위 layer에는 우리가 보는 파일자체에 첫번째 Encapsulation(1)이며 그다음 TCP/UDP
Layer에서 데이타그램(최 상위에서 만든 데이타프레임)을 TCP/UDP protocol에 따른
Encapsulation를 만들고 그아래 layer에서 IP 데이타그램 과 Ethernet Frame 으로 각각
만들어짐을 보여준다.
-. 최하위 계층(Physical layer)에서 실제 네트웍으로 전송되는 것이다.
2). 계층2,계층3 에서의 어드레스를 포함하고 있는 HEAD 부분을 살펴보자
2.1). Ethernet Frame 전송을 위한 필수적인 정보(발신 Mac.정보,수신Mac정보 등)를 포함
2.2). IP(Internet Protocol)계층을 위한 내부 정보
발신 IP Address, 착신 IP Address 와 헤드 checksum등의 정보를 가지고 있다.
3). 중국산 네트웍 장비(L2-L3,L4급 이상 스위치)들이 가진 기능요약
요약
자신의 장비(L2,L3,L4~ )를 입출력 되어 거쳐가는 특정(setting된 Mac주소를 가진 Frame) 또는 모든Frame를 캡쳐하여 별도로 하나더 복사하여 내부 데이타그램은 그대로인 체 HEAD부분만 조작하여 특정주소를 찾아가게 하는 IP (스위치내부에 등록된 ip address)로 대체 시켜서 외부망으로 보내게 하는 방법이다.(하나의 예시임,이외 다양한 방법이 있을수 있음)
-.Ethernet 계층(layer2)과 Network계층(layer3)에서 있는 HEAD정보를 조작한다.
=> source MAC address 를 자신의 MAC 으로 변경
=> destination IP address를 이미 내장된 ip address(중간접수처 주소=> 중간접수처에
서 다시 수정된후 다음접수처 또는 최종 집결지의 주소)로 대체시키고,IP Datagram 를
다시 checksum 시킨후
=> 외부 망으로 보낸다.
destination을 찾는 상세한 과정은 다음을 참조
-. 이 과정을 통해 특정 기관을 접속하는 모든 Frame를 중간에서 카피하여 전부 중국 모처로 보
내어 이 네트웍에 접속되 있는 서버나 컴퓨터 시스템의 모든 사용자들의 아뒤와 비밀번호등
을 바로 알게 되어 중국에서 미국의 주요 군사기밀서류나 시스템내용을 그대로 알게되게 되
는 기본적인 access 가능한 수단을 제공하는 것이다.
그야말로, 믿는도끼에 발등 찍히는 경우이다. 보유한 모든파일들이 그즉시 중국으로 전부 이
전 되게 되는것이다.
-. 이것으로 중국은 그동안 마국의 수많은 첨단군사무기 장비,시스템 자료들을 카피한 수준을
넘어서 매일 접속해서 추가변경정보 들을 그대로 낱낱이 지켜보고 연속성을 이어갔다는 것
임.
결국 이것은 중국이 자신의 통신회사를 이용해서 외국 스파이 활동과 사이버 공격을 하는 방법에 대한 기술이 있다고 자신의 입으로 밝힌바 있다.(중국 인민해방군 산하 군사과학 연구원(the Chinese Academy of Military Sciences)의 백서에 의하면 ) "사이버 전쟁은 통신 분야에서 준비되어야 한다."며 그 작업에 대해 "(적국의 네트워크상에서) 훔치고, 바꾸고, 삭제하는 것"(“stealing, changing and erasing data”)이라고 기술했고, 그 목적을 "속이고, 방해하고, 분열시키고, 마비시키는 것"(“deception, jamming, disruption, throttling and paralysis.”)이라고 하였다.
<이후 일어난 과정과 논란>
"중국정부가 사이버해킹 직접 개입했다"
"열받은 중국의 역공 "해커는 미국이다"
<미국의 수정된 사이버 전쟁 전략>
Myon Han
http://korusreport.com/?document_srl=513 2011.06.26 16:37:21 29821
가. 사이버 반격, “어마어마하게!”
미국 국방장관 지명자, 사이버 전쟁 새 전략 세우고 준비 중…전쟁의 주 대상으로 북한·중국 꼽아
[1131호] 2011년 06월 22일 (수) 한면택│워싱턴 통신원
▲ 지난 6월2일 차기 국방장관으로 지명된 리언 파네타 미국 CIA 국장(왼쪽)이 백악관에서 오바마 대통령과의 만찬에 앞서 해리 레이드 민주당 원내대표와 이야기를 나누고 있다.
ⓒAP 연합
미국이 새로운 전쟁, 즉 사이버 전쟁에 나서고 있다. 사이버 공격을 당하면 사이버 무기는 물론 미사일 등 재래식 무기까지 동원해 보복하겠다는 새 전략을 세우고 있다. 동시에 선제적으로 적대국의 사이버 공격을 막아낼 수 있는 사이버 공세 작전도 준비하고 있다. 미국이 사이버 전쟁의 주 대상으로 북한과 중국을 꼽고 있기 때문에 한반도 안보에도 지대한 여파를 미칠 것으로 보인다.
사실상 미국의 정보 총수인 중앙정보국(CIA) 국장에서 7월1일부터 펜타곤의 수장인 국방장관으로 옮기는 리언 파네타 차기 미국 국방장관 지명자는 “이제는 사이버 전쟁이다”라고 선포했다. 파네타 지명자는 “우리가 직면할 다음 번 진주만 공습은 미국의 전력·안보·금융, 정부 시스템을 망가뜨릴 사이버 공격이 될 수 있다”라고 경고했다. 파네타 지명자는 “이것이 오늘날 정말 가능성이 있는 일이 되고 있다. 이에 공격적으로 대처해야만 한다”라고 밝혔다.
나. 피해 클 땐 ‘전쟁’ 간주…공격적 대처 천명
미국 국방부는 6월 안에 최초의 사이버 전쟁 전략을 공표한다. 미국 국방부가 마련한 사이버 전쟁 전략은 두 가지 버전으로 되어 있는데 비공개분까지 포함하면 30쪽 분량이고 공개분은 12쪽인 것으로 알려져 있다. 미국의 사이버 전쟁 전략은 갈수록 급증하는 사이버 공격에 미국이 어떻게 맞대응하고, 사전에 어떤 전략으로 대처할 것인지를 포괄적으로 담고 있다고 미국 언론들은 전하고 있다.
미국의 사이버 전쟁 전략에서 눈길을 끄는 대목은 미국이 사이버 공격을 당해 막대한 피해를 입었을 때에는 미사일 등 전형적인 무기까지 동원해 보복한다는 맞대응 전략이다. 월스트리트저널은 미국이 해커들의 사이버 공격으로 미국의 핵발전소, 지하철, 금융·정부 기관 등 핵심 시설이 심각하게 손상되거나 마비를 겪고 심지어 인명 피해까지 초래할 경우 ‘전쟁 행위’로 간주해 보복 공격을 가한다는 사이버 전쟁 전략을 처음으로 세웠다고 전했다. 미국 언론들은, 미국은 특히 사이버 공격을 한 해커들에 대해서는 같은 사이버 무기로 반격을 가할 수도 있고 미사일 등 전통적 무기로 족집게 폭격을 가할 수 있다고 규정했다고 전했다.
미국은 핵발전소 등 핵심 기간 시설을 사이버 공격할 수 있는 능력은 국가 차원의 지원이 없고서는 불가능하다고 판단한다. 서버를 추적해 사이버 공격을 한 국가를 지목한 다음 물증이 확보되는 대로 보복 공격에 나선다는 방침이다. 미국은 사이버 공격으로 받은 피해 정도에 상응해 당한 만큼 반격을 한다는 원칙을 세워놓고 있다. 다만 미국이 미사일 등 재래식 무기로 반격을 가할 때에는 전면전으로 비화되어 막대한 민간인 인명 피해가 나지 않도록 제한적이고 국지적인 족집게 폭격을 단행할 방침이라고 미국 언론들은 전했다.
미국은 적대국들이 사이버 공격을 해 올 위협이 포착되면 선제적으로 사이버 공격을 가해 저지하는 전략도 세워놓은 것으로 알려졌다. 미국은 선제 사이버 공격을 위해 컴퓨터 웜 바이러스 등 사이버 무기들을 개발하는 데에도 전력투구하고 있다고 언론들이 밝혔다. 미국은 적성국의 컴퓨터망에 침투해 바이러스를 심어놓고 있다가 나중에 가동시켜 사이버 공격을 가하거나 보복 공격을 할 수 있는 사이버 무기들을 대거 개발해 시범 사용하고 있다는 것이다.
거의 공개된 미국의 선제 사이버 공격 무기 중에는 STUXNet 웜 바이러스가 포함되어 있다. 이 컴퓨터 바이러스는 이미 지난 해 이란 핵 시설을 사이버 공격해 마비시키는 데 실전 사용된 것으로 언론들은 간주하고 있다. 지난해 STUXNet 웜 바이러스가 이란의 핵시설에 침투해 상당한 피해를 입히고 일정 기간 동안 마비시키는 데 성공한 바 있다. 전문가들은 이란 핵시설에 대한 사이버 공격은 이스라엘이 주도하고 미국이 지원한 것으로 관측하고 있다고 워싱턴포스트는 전했다.
또 한 가지 선제 사이버 공격의 성공 사례는 알카에다 테러 조직의 온라인 매거진 개설을 저지한 것이다. 알카에다 조직은 지난해 6월 말 <Inspire>라고 명명된 온라인 매거진을 신설하려 했다. 이를 두고 미국 정부 기관 내에서는 선제 사이버 공격으로 저지할 것인지를 놓고 의견 대립이 벌여졌다. 신설된 미군 사이버 사령부는 테러 확산을 우려해 이 사이트의 출범을 선제 사이버 공격으로 막아야 한다고 주장했다. 반면 중앙정보국은 비밀작전에 동원되는 미국 정보원과 체계 등이 노출될 위험이 있다며 반대했다. 미국 정부 내에서 의견 차이가 노출된 사이 영국이 선수를 쳐서 이 사이트에 대한 선제 사이버 공격을 단행했다.
다. 사이버 공격원 확정과 물증 제시에 어려움
▲ 지난해 11월9일 한·미 연합 훈련에 참가한 미국 항공모함 조지 워싱턴 호에서 승조원들이 한반도 작전 상황을 파악하고 있다.
ⓒ연합뉴스
<Inspire>라는 알카에다 조직의 온라인 매거진은 오사마 빈라덴의 보좌관을 지낸 인물을 내세워 폭탄 제조 방법을 확산시키려 했는데 영국이 사이버 공격으로 주요 내용을 날려버린 것이다. 알카에다의 아라비아 반도 지부가 이를 복구해 다시 재개하는 데 2주일이나 걸렸기 때문에 선제 사이버 공격의 효과를 거둔 중요 사례로 꼽히고 있다고 워싱턴포스트는 전했다.
미국은 미군 내 사이버 기술과 무기, 공격 등을 통합해 관할하는 미군 사이버사령부를 신설하고 NSA(국가안보국) 국장인 키이스 알렉산더 대장이 사령관을 겸임하도록 하고 있다. 미국은 특히 이번에 마련한 사이버 전쟁 전략에서 대통령 승인 사안과 군 지휘부에서 명령이 가능한 사안 등을 분류하고 어떤 기준으로 보복 공격에 나설지 등 기본 원칙들을 설정했다고 미국 언론들은 전했다. 미국은 외국의 컴퓨터망에 침투해 바이러스를 남겨두었다가 추후 작동시켜 적대국에 대한 사이버 공격 또는 보복 공격을 가할 때에는 반드시 대통령의 승인을 받도록 규정해놓고 있다.
그러나 실제로 사이버 전쟁이 벌어지는 상황에서는 군 지휘부가 즉각 대응을 명령할 수 있도록 허용하게 된다. 다만 이런 상황을 감안해 대통령의 사전 승인을 받아놓고 있다가 실전에서는 군 사령관이 상황 판단에 따라 사이버 공격 또는 보복을 명령할 수 있게 한다는 것이다.
반면 적대국의 사이버 전쟁 능력을 파악하기 위한 연구나 상대국에 대한 미국의 사이버 공격 목표를 미리 설정하기 위한 조사 등은 대통령의 승인 없이도 진행할 수 있게 되어 있다.그럼에도 미국은 사이버 전쟁을 실제로 치를 경우 몇 가지 딜레마에 빠질 것으로 우려하고 있다. 우선 미국이 사이버 공격을 당해 보복 공격을 단행하려 할 때 사이버 공격원을 확정 짓는 데 어려움을 겪고 명확한 물증을 제시하지 못하면 국제적 논란을 초래할 가능성을 걱정하고 있다.
미국은 이라크를 침공했을 때 대량살상무기가 발견되지 않아 국제적 비난을 사왔는데, 사이버 전쟁에서 보복 공격에 나섰다가 미국을 공격한 물증을 제시하지 못하면 상당한 곤경을 겪게 될 것으로 예상되고 있다. 미국은 이와 함께 미국에 사이버 공격을 가한 컴퓨터 서버가 여러 나라에 걸쳐 있을 수 있고 중국 등 파워 국가, 심지어 우방 국가에도 존재할 수 있는데 그럴 때에는 어떻게 보복 공격을 할 수 있을지 심각한 고민을 하게 될 것으로 예측되고 있다.
앞으로 사이버 전쟁은 어떤 양상으로 발전 될까?
[세계는 지금] 커지는 ‘총성없는 전쟁’ 위협… 사이버軍 양병론 다시 고개
"정보전쟁엔 아군도 없다"…동맹국까지 도청·해킹
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
답글삭제새로운 블로그 입니다. ㅋ