이석원 기자
최근에는 중국 해킹팀이 외국 기업과 정부 기관을 사이버 공격했다는 뉴스를 자주 접한다. 이면에는 시진핑 국가 주석이 주도한 국가적인 해커 육성 계획이 있다고 한다.
시 주석은 주석 취임 다음 해인 2014년부터 사이버 보안 정책을 추진해 관료 기구와 대학, 인재 육성, 연구 등에 자금을 투여하기 시작했다고 한다. 실제로 실시한 정책을 살펴보면 첫째는 해커 인재 육성.
2000년대 중국에서 정책 입안자는 해커를 재능 있는 소수로 부르며 필요한 인재를 찾는 건 밀밭에서 꽃을 찾는 것 같다고 표현했다. 때때로 열리는 사이버 보안 콘테스트 등에서 인재를 찾아 정부 기관에 스카우트했지만 이는 비효율적인 방법이며 지속적으로 인재를 공급할 수 없다.
따라서 시 주석은 사이버 보안 문제를 주도하는 기관(Central Cyberspace Affairs Commission)을 설립하고 대학에 사이버 보안 교육 평가와 표준화를 요구했다. 2015년까지 교육부는 중국 전역에 사이버 보안 교육 기준을 전개했고 대학은 커리큘럼을 조정했다고 한다.
둘째는 행정적 차원에서의 톱다운 사이버 보안 전략 발표. 이 전략은 사이버 보안 의식 향상에서 인재 육성까지 정책 입안자가 착수해야 할 9가지 전략적 과제를 제시하고 지방자치단체가 과제를 달성하기 위해 자유로운 정책 아이디어를 채택하도록 장려했다.
국가 사이버 보안 전략 발표 직후 후베이성 우한에선 미국 노스캐롤라이나주에 위치한 하이테크 파크인 리서치 트라이앵글 파크를 참고한 지역(National Cybersecurity Talent and Innovation Base) 건설을 발표했다. 이는 광활한 부지에 대학과 연계한 사이버 보안 인재 육성과 연구를 실시하고 세제상 우대 조치를 부여해 기업을 유치하는 것이었다. 또 구이저우성구이양시에선 빅데이터 산업에 힘을 쏟는 정책이 이뤄지고 있으며 이런 정책은 중앙정부 뒷받침을 받고 있다.
중국 정부는 또 2017년 여러 대학을 WCCS(World-Class Cybersecurity Schools)로 인정해 모범이 되어야 할 기준을 제시하는 동시에 경쟁으로 학생 능력을 높일 목적으로 대량 해킹 콘테스트를 실시했다. 현재 연간 수백 개에 이르는 해킹 콘테스트가 열려 때론 수천 개 팀이 참가하는 경우도 있다고 한다. 중국 공안부는 소프트웨어 취약성을 일종의 자원으로 파악해 자국 내 보안 연구자에게 발견 48시간 이내에 공업정보화부에 보고하도록 요구하고 있다. 마이크로소프트가 2022년 발표한 보고서에 따르면 이 정책에 의해 중국 정부는 더 많은 제로데이 취약점을 수집해 사이버 공격 전개로 이어졌다고 한다.
2022년 11월 WCCS가 중국과학원이나 교육부 등과 협력해 발표한 보고서에선 중국 사이버 보안 전문가 부족은 37만 명 정도로 추정된다. 2017년 추정에선 부족분이 140만 명 정도였던 걸 감안하면 이는 큰 성공이라고 할 수 있는 수치이며 하향식 해커 교육 시스템 공이라고 할 수 있다.
중국 해커 그룹은 지금까지처럼 개인 스킬에 의존하는 게 아니라 관료 기구에 의해 관리되는 무명 공무원으로 구성된다는 지적이다. 또 사이버 공격은 윈도에 대한 광범위한 사용 같은 외부 요인에 제약을 받지만 중국이 자체 완결형 컴퓨팅 생태계라는 야심을 실현하면 더 효율적인 사이버 공격이 가능해질 가능성도 있다. 물론 이 야망이 실현되기까지는 시간이 걸린다. 하지만 시 주석이 정권을 잡고 사이버 능력을 중국 우선사항 중 하나로 삼은지 아직 10년도 안 됐다. 위협이 현실이 되는 날은 생각하는 만큼 머지 않을 수 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
