마이크로소프트(MS)가 중국 해킹조직이 보유·운영하는 것으로 추정되는 웹사이트 42곳을 압류했다고 뉴욕타임스(NYT)가 6일(현지시간) 보도했다. MS는 이들 웹사이트 트래픽을 자사 보안서버로 전송, 추가 피해를 예방하는 한편 공격을 분석하고 있다.
MS는 이날 톰 버트 보안 부문 부사장 명의의 글을 내고 “MS 디지털범죄유닛(DCU)은 중국 해킹조직 '니켈'의 활동을 저지하기 위해 노력해 왔다”면서 “버지니아 연방법원이 니켈 웹사이트 압류에 대한 MS의 요구를 승인했다”고 밝혔다. NYT는 이번에 공개된 법원 문서를 인용해 “MS가 니켈의 첩보 활동을 저지하기 위해 42개 웹사이트를 압류했다”고 전했다.
앞서 MS는 지난 2일 이들 웹사이트에 대한 통제권을 이관해달라고 미 법원에 신청했다. 이후 법원은 해당 웹사이트에 대한 임시제한명령을 발행하는 동시에 통제권을 MS에 넘기도록 나흘 만에 허가를 내렸다. 버트 부사장은 “이번 조치가 니켈의 해킹 활동 자체를 막을 순 없겠지만 니켈이 의존해 왔던 핵심 인프라를 제거하는 데 의미가 있다”고 말했다.
MS에 따르면 니켈은 미국을 비롯한 세계 29개국 정부기관과 싱크탱크, 인권단체로부터 정보를 빼돌리기 위해 각종 웹사이트를 활용해 왔다. 정보 탈취를 위한 악성코드 유포 등 추가 공격의 근거지로 삼았다는 것이다. MS는 2016년부터 니켈을 추적해 왔으며, 이용자가 멀웨어 설치를 알아차리지 못하도록 고도로 정교한 공격을 수행한 사실을 확인했다.
니켈은 가상사설망(VPN)에 침투하거나 신뢰할 만한 단체로 가장해 비밀번호를 알아내는 등 피싱 공격 등을 펼쳤다. 이용자 컴퓨터에 멀웨어를 설치한 뒤에는 해당 컴퓨터를 악성 웹사이트와 통신하게 했다. MS는 이 같은 행위가 해킹뿐 아니라 MS의 운용체계(OS)를 변형시켰다고 판단했다. 회사 측은 “MS 브랜드를 남용하고 윈도 조작으로 이용자를 기만했다”고 지적했다.
이외에도 MS는 지금까지 24개 소송건을 제기해 사이버범죄와 함께 정부 지원 해커 약 600명이 활용하는 악성 웹사이트 1만곳 이상을 폐쇄했다.
국내 보안업체 이스트시큐리티는 “니켈이 적어도 2010년부터 활동해 왔으며 세계 국방, 첨단기술, 에너지, 정부, 우주·항공, 제조 분야에 대한 사이버첩보전을 펼쳐 왔다”고 분석했다.
보안업계는 니켈을 '지능형지속위협(APT)15' '로얄 APT' '빅센 판다' '플레이풀 드래곤' 등으로도 부른다.
미국 정부는 지난 3월 MS 익스체인지 서버를 겨냥한 해킹 공격 배후로 중국 국가안전국을 공식 지목한 바 있다. 지난 7월에는 국가안보국(NSA)과 연방수사국(FBI) 등이 공동 경보를 발표하면서 중국의 사이버공격 활동을 미국과 동맹국에 대한 '중대한 위협'이라고 명시했다.
오다인기자 ohdain@etnews.com