중국 만리방화벽의 비밀, 서서히 밝혀지기 시작하나

9월 11일 중국 만리방화벽과 관련된 데이터 600GB가 갑작스럽게 온라인에 노출되는 사건이 발생했다. 여기에는 각종 소스코드와 내부자 간 소통 기록, 작업 로그, 기술 문서 등이 포함돼 있다고 한다. 중국이 만리방화벽을 어떤 식으로 구축하고 또 유지하고 있는지 상세하게 밝혀질 수 있는 대형 사건이다.

데이터를 유출시킨 것 자체는 핵티비스트 그룹인 엔레이스 핵티비스타(Enlace Hacktivista)라고 해외 언론들은 밝히고 있다. 엔레이스 측은 자신들이 공개한 데이터가 기지네트웍스(Geedge Networks)와 중국과학원 정보공학연구소 산하 연구실인 메사(MESA)에서부터 나온 것이라 주장하는 중이다. 기지네트웍스와 메사는 오래 전부터 만리방화벽 연구와 개발을 이끌어 온 조직들이다. 기지네트웍스의 수장 팡빈싱(Fang Binxing)은 “만리방화벽의 아버지”라고 불리기도 한다.

현재까지도 이 데이터는 누구나 다운로드 받을 수 있다. 비트토렌트(BitTorrent)와 직접 다운로드 링크 모두 활성화 되어 있다. 다운로드 되는 건 거대한 tar 압축파일인데, 열어 보면 수만 페이지에 달하는 정보들이 저장돼 있다. 보안 전문가들은 “만리방화벽 내부를 들여다 볼 수 있는 흔치 않은 기회가 열렸다”는 입장이다. 벌써 데이터를 살펴 본 전문가들은 SNS나 블로그 등 개인 채널을 통해 “수년에 걸친 만리방화벽 개발 과정마저도 엿볼 수 있다”는 식으로 밝히는 중이다. “어떻게 개발됐는지, 어떤 과정으로 진화되고 확장됐는지까지 상세히 나와 있는 것으로 보인다”고 외신들도 보도했다.

데이터가 너무 방대하기 때문에 세부 내용은 점진적으로 공개될 것으로 예상된다. 예전부터도 방대한 자료가 한꺼번에 유출되면 전체 내용이 한 번에 공개되는 게 아니라 분석되는 것부터 하나하나 보도됐었다.

일단 보안 전문가들은 tar 압축파일의 폴더 구조들만으로도 꽤나 많은 정보를 얻어가고 있다고 발표하고 있다. 이번 만리방화벽 상세 리포트에서는 “디렉토리 이름이 geedge/_docs.tar 혹은 mesalab/_docs.tar이며, 이는 두 핵심 조직의 내부 정보가 담겨 있을 가능성을 시사한다”고 언급된다. 그 디렉토리 안에는 스펙이나 프로젝트 기술 설명, 매뉴얼 등을 암시하는 파일들이 있다는 내용도 덧붙었다.

“그중 한 파일의 이름은 BRI입니다. Belt and Road Initiative 즉 시진핑 정권의 일대일로 프로젝트를 가리키죠. 만리방화벽과 관련된 기술 내용만이 아니라 이번 중국 정부의 핵심 정책 중 하나인 일대일로 프로젝트에 관한 문서도 다량 포함돼 있을 것으로 보입니다. 어떤 국가들이 어떤 깊이와 방식으로 중국과 협력하고 있었는지 드러날 전망입니다.” 

왜 BRI 파일이 만리방화벽 데이터와 섞여 있었을까? 이는 중국과 특정 국가들 간 ‘일대일로 협약’ 내용 중 ‘만리방화벽과 비슷한 것을 본따 구축한다’도 있을 가능성을 시사한다고 전문가들은 보고 있다. 즉 중국의 대국민 감시 체제를 가져다 쓴 국가들이 있을 수 있다는 의미가 된다. “이와 관련해 CPEC.doc라는 파일도 같이 발견됐습니다. CPEC은 중국과 파키스탄 간 경제 회랑을 의미합니다. 파키스탄이 제일 의심되죠.” 외신들은 미얀마, 에티오피아, 카자흐스탄 등도 용의선상에 있다고 지적한다.

그 외에도 jira.tar라는 파일도 발견됐다. 이는 업무 관리 및 협업 도구인 지라(Jira)와 관련되어 있을 가능성이 높다. 즉 내부 인원들의 작업 프로세스와 협업 과정까지도 적나라하게 드러날 수 있다는 의미다.  filelist.txt라는 파일도 있었다. “열어 보니 방화벽 운영에 연루된 각종 소프트웨어 패키지들의 목록이었습니다. 방화벽이 단순 정치적 장치가 아니라, 방대한 기술 집약체였다는 걸 증명합니다.”

이쯤에서 생각나는 NSA 유출 사건
미국의 NSA도 이와 비슷한 일을 겪은 바 있다. 2013년의 에드워드 스노든(Edward Snowden) 사건이 가장 유명하지만, 2016년과 2017년에 발생했던 셰도우브로커스 사건 역시 NSA는 물론 미국이라는 국가의 신뢰도에 큰 오점을 남겼다. 

스노든은 전직 NSA 계약직 직원으로 NSA가 전 세계에 감시 프로그램을 발동시키고 있었다는 증거 자료를 세상에 공개했다. 그러면서 그러한 감시를 현실화시키는 기술인 프리즘(PRISM)과 템포라(TEMPORA)의 기술 문건들을 다량으로 유출시켰다. 이 때문에 미국은 우방 국가들과도 외교적 마찰을 겪어야만 했다.

그 후 3-4년이 지난 시점, 해킹 그룹 셰도우브로커스(Shadow Brokers)가 등장, NSA 산하 조직인 이퀘이젼그룹(Equation Group)이 사용하던 해킹 도구와 관련 자료들을 대량으로 노출시켰다. 이 사건 전까지 이퀘이젼그룹은 ‘신비에 싸인’ 해킹 조직이었다. 일각에서는 세계 최고 기술력을 갖춘 해킹 그룹이라는 묘사를 붙이기까지 했다. 국가의 지원을 받는 단체다, 아니다, 뛰어난 사이버 범죄 그룹이다, 말들도 많았었다. 그러다가 셰도우브로커스가 나와 “다 틀렸다. 이퀘이전그룹은 NSA였다!”로 논란을 잠재웠다.

셰도우브로커스 사건은 후폭풍도 거셌다. 이 때 수십 기가바이트에 달하는 해킹 도구들이 세상에 공개됐는데, 그 중 대표적인 것이 이터널블루(EternalBlue)다. 성능 좋은 해킹 도구가 어이없이 공개되면서 공격자들은 너도 나도 이것을 가져다 쓰기 시작했다. 한 때 NSA가 비밀리에 사용하던 도구가 전 세계 해킹 범죄를 촉진시키는 계기가 되기도 한 것이다. 이 이터널블루는 훗날 워너크라이(WannaCry) 랜섬웨어와 낫페트야(NotPetya) 사태의 배경이 되기도 한다.

이제 중국도 해킹에 시달리게 될까?
이번 사건으로 중국이라는 나라를 해킹하는 게 더 쉬워질까? 당연히 그럴 수도 있다. 방화벽과 밀접하게 연관된 소스코드, 환경설정 파일, 각종 유지 관리 도구들이 노출됐으니 침투에 도움이 되는 건 분명하다. 이런 정보들이 있으면 공격자들은 어디가 허술한지, 어떻게 노려야 하는지, 어떤 전략이 효과적인지 판단할 수 있게 된다. 만리방화벽의 작동 원리 자체가 드러날 수도 있는 상황이라 중국 내 조직들은 바짝 긴장해야 할 것으로 보인다. 

심지어 내부 협업의 흔적과 매뉴얼에 해당하는 문건들까지 이번 유출 데이터에 포함돼 있을 정도니, 공격자로서는 사실상 방화벽 내부 지도를 손에 든 것과 다름이 없을 것이다. 특정 장비나 기술이 어디에 설치 및 구축되어 있는지까지도 확인이 가능할 것으로 예상된다. 이런 정보를 공격자들이 무관심하게 그냥 지나친다? 사례를 찾기 힘들 정도다. 

그렇다고 이제 중국이 완전히 ‘호구 잡힌 것’까지는 아니다. 이번에 공개된 정보가 어느 정도까지 상세하게 내부 사정을 담고 있는지는 확인되지 않았다는 것도 고려해야 한다. 생각보다 얕고 평범한 정보라면, 실력이 대단히 좋은 수준의 공격자들만 겨우 이번 정보를 활용할 수 있을 것이다. 거대한 베일이 벗겨지긴 할 건데, 그 뒤에 맨 얼굴이 있을지 또 다른 베일이 있을지, 가면이 있을지 아무도 모른다는 의미다.

그 동안 중국을 노리고 싶어했던 공격자들에게만 호재인 건 아니다. 분석가들과 연구원들도 이 사건을 눈여겨 볼 것으로 예상된다.  그 동안 전 세계적인 통계를 낸다거나 조사를 진행할 때 중국은 일종의 블랙박스였다. 인구면 인구, 시장 중요도면 중요도, 경제적 위치면 위치, 절대로 무시할 수 없는 국가인데, 여기서는 도통 데이터가 나오지 않았다. 통계자료나 연구 결과에 한계가 있을 수밖에 없었다. 어쩌면 그것이 이번에 어느 정도 해소될지도 모른다.

물론 연구자들이나 분석가들이 방화벽을 익스플로잇 해서까지 데이터를 취하지는 않을 것이다. 이건 좀 더 중국 정부와 기관들의 ‘협조적 태도’와 관련된 문제다. 그러나 연구 주제에 따라 만리방화벽에 트래픽을 쏜 뒤, 그것이 어떤 식으로 차단되는지를 분석하는 것으로 만족해야 하는 경우들도 있었다. 그런 류의 연구를 진행한다고 했을 때 이번 유출 데이터는 분석을 좀 더 정확히 하는 데 기여할 것으로 기대되기도 한다.

그러나 중국 정부가 가만히 있을 리가 없다. 데이터 전부가 분석되기 전에 조치를 취할 가능성이 높다. 취약할 수 있는 지점을 빠르게 패치하고, 기존 키들을 전부 폐지시킨 후 새로 발행하고, 패키지를 새롭게 구성하고 환경설정을 바꾸는 등의 작업이 이어질 것으로 보인다. 보안 업체 위즈(Wiz)는 이러한 이유 때문에 “이번에 유출된 데이터가 장기적으로는 쓸모 없어질 수 있다”고 보고 있다. 시간 다툼이 될 공산이 크다는 의미다.

Related Materials

• Over 500GB of Sensitive Great Firewall of China Data Leaked, 2025년
• China's Great Firewall suffers its biggest leak ever as internal data, source code, documents go online, 2025년
• 600 GB of Alleged Great Firewall of China Data Published Online, 2025년
• Geedge & MESA Leak: Analyzing the Great Firewall's Largest Internal Data Breach, 2025년

중국, 필리핀 국방 조직 겨냥해 새 파일레스 멀웨어 사용

💡Editor’s Pick - 에그스트림이라는 새 모듈형 멀웨어 - 일부가 디스크에 남긴 하나 실행은 전부 메모리에서 - 필리핀이 수년 동안 노출돼...남중국해 갈등 여파 새로운 멀웨어가 발견됐다. 이를 처음 세상에 알린 보안 업체 비트디펜더는 해당 멀웨어에 에그스트림(EggStreme)이라는 이름을 붙였다. 중국 APT 조직들이 아시아와 태평양 지역의 군사 및 국방 조직을

The Tech Edge문가용 기자