인도 내부서부터 좀먹는 중국의 사이버 범죄 조직
- 중국 해킹 조직, 인도 내부서 불법 자금 빼돌려
- 그 규모가 인도 경제 자체를 좀먹을 지경
- 경제만이 아니라 국가 신뢰도 자체도 흔들릴 수 있어
중국의 사이버 공격 단체가 인도에서 대규모 자금을 꾸준히 세탁해 왔다고 보안 업체 클라우드섹(CoudSEK)이 발표했다. 그 규모가 무려 연간 6억 달러에 이른다고 하는데, 클라우드섹은 “어둠의 금융 제국”이라는 표현까지 사용했을 정도다. 그러면서 인도라는 국가의 금융 안보를 위협하는 수준에 이른다고 경고하기도 했다.
공격자들은 인도의 일반 시민들을 자금 운반책으로서 활용하기도 했다. “일자리를 구하지 못한 청년들이나, 용돈이 궁한 학생들을 상대로 ‘아르바이트’를 모집합니다. 텔레그램이나 왓츠앱을 통해 어마어마한 수익을 약속하면서 일할 사람을 찾는 거죠. 하지만 이건 덫입니다. 그 약속이 지켜지지도 않거니와, 사실은 범죄 행위에 연루되는 거라 위험합니다.”
일반 시민들을 범죄 조직이 ‘활용’하는 방법은 다양하다. “이들로부터 민감한 은행 정보를 빼내거나 일회용 비밀번호를 중간에서 가로채기도 합니다. 즉 일을 준다고 사람을 모집해놓고는 사실상 해킹 범죄의 첫 번째 대상으로 삼는 거죠. 이들의 은행 계좌를 사실 범죄자들이 운영할 수 있게 되는데, 이런 계좌들은 돈 세탁의 유용한 경로가 됩니다.”
그 외에 새 은행 계좌를 개설하게 한 후, 해당 계좌와 연결된 카드와 심카드 등을 조직에 넘기게 강제하는 경우도 있다. 해킹으로 뚫어 내지만 않을 뿐, 사실 비슷한 결과를 조직들은 얻게 되는 것이라고 할 수 있다. “결국 불법 자금을 여기 저기 흩뿌려 놓기 위한 ‘무고한 계좌들’을 다량 확보하는 게 최종 목표라고 할 수 있습니다. 이 계좌들을 가지고 각종 악성 행위를 하죠. 불법 도박을 하고, 폰지 사기를 치고, 고금리 디지털 대출금을 받기도 합니다.”
공격자들은 피해자들을 통해 인도중앙은행이 관리하는 시스템 내부에서 통용되는 계좌들을 개설하지만, 그 계좌들을 가지고 법적 감시에서 벗어난 영역에서 활동한다고 클라우드섹은 설명한다. “돈을 확보하는 방법은 불법이기 때문에 활동 영역은 어둠 속에 있습니다. 하지만 돈을 받을 때만큼은 중앙에서 관리하는 계좌를 통해야 하죠. 직접 현장에서 현금을 주고 받는 게 아니라면요. 그러니 그 격차를 메워야 하는데, 주로 ‘복잡하고 다단계적인 절차를 거쳐 세탁’을 할 수밖에 없습니다.”
범죄 이력이 없거나 미약한 취약 계층의 계좌들을 통해 돈을 나눠 송금하는 것도 그런 복잡한 절차 중 일부다. 그 외에 암호화폐를 이용해 해외로 빼돌리기도 하고, 해외 기업과의 무역인 것처럼 과정을 꾸밈으로써 인도 금융 시스템을 탈출하기도 한다.
이런 활동들이 있다는 것 자체도 문제인데, 그 규모가 어마어마하다는 게 더 큰 문제라고 클라우드섹은 지적한다. “이 사이버 범죄자들이 일반인들을 속이기 위해 여러 가짜 앱을 사용하기도 하는데, 단 한 개의 앱만을 통해서도 1년 동안 2천만 달러가 거래됐습니다. 40만 건에 가까운 거래가, 34000여 개의 자금 운반책 계좌를 통해 이뤄졌습니다. 이들이 운영하는 모든 앱들을 다 합쳤을 때 연간 6억 달러 규모가 이런 식으로 어둠의 경로를 통과해 범죄자들의 주머니로 들어간다고 추산할 수 있습니다.”
이는 인도 경제 전체에 심각한 타격을 준다. “막대한 미신고 자산이 인도 경제에서 중국으로 넘어가는 것이니까요. 그러면 인도 내수가 침체되기도 하겠지만, 무엇보다 인도 화폐인 루피가 약화될 수밖에 없습니다. 인도 경제 시스템에 대한 인도 국민들의 신뢰가 하락하고, 이는 장기적인 피해로 이어지게 됩니다. 피해자들은 자기도 모르게 범죄에 연루되었기 때문에 피해는 피해대로 보면서 법적 책임까지 물 수 있는데, 그러면 국가 시스템 자체에 대한 불신이 생기게 됩니다. 이 역시 인도를 내부에서부터 좀먹게 됩니다.”
이 때문에 인도 내부에서도 이러한 활동들을 적발하는 데 집중하고 있다. 그러면서 최근에는 수억 달러의 불법자금이 해외로 흘러가지 못하게 동결시키는 데 성공하기도 했다. “하지만 중국과 인도는 앙숙이기 때문에, 범죄 조직의 뿌리를 국가 공조로 뽑아내지는 못할 겁니다. 현재 캠페인과 유사한 시도가 계속해서 있을 것이라는 뜻입니다. 문제의 근절을 위해서라면 인도와 중국 정부가 어떻게 해서든 협력 체계를 마련해야 합니다. 즉 외교 무대로 이 문제를 가져가야 한다는 뜻입니다.”
그렇다는 건 문제가 온전히 해결되는 데에 긴 시간이 걸릴 가능성이 높다는 의미가 된다. “그렇기에 금융 기관 스스로가 인공지능 기반 모니터링 기능을 강화하고, 정부나 유관 기관은 관련 규제들을 찾아내 강화해야 합니다. 그 무엇보다 취약 계층을 상대로 한 보안 교육도 필수로 가져가야 합니다.”
