2009.05.12

중국, 자국내 해킹 증가에 사이버 범죄 강경 대응

Robert McMillan | IDG News Service

1년 전, 타임지 기자가 탄 데일린에게 누가 펜타곤을 해킹했는지 알고 있다고 말하자, 데일린은 “FBI가 날 잡으러 요원을 보낼까요?”라고 물었다. 하지만 대답은 틀렸다. 중국 정부가 나선 것이다.

 

중국 해커 그룹 위더레드 로즈(Withered Rose)로 더 잘 알려진 탄 데일린은 지난 달 중국 쳉두에서 체포됐다. 데일린은 이제 지난 2월 통과된 중국의 새로운 사이버범죄 법에 따라 감옥에서 7년을 보내야 한다.

 

비록 지난 수년 동안 서구 언론은 중국발 해킹 이야기로 넘쳐났지만, 최근까지도 중국에서 사이버범죄는 1997년 중국 형법에 추가된 단 3개 조항으로 규제됐다. 전자보안 및 디지털 포렌직 국제 저널에 게재된 중국 사이버 법률에 대한 최근 보고서에 따르면, 중국의 형법은 구시대적이며, 사이버 범죄가 일으키는 엄청난 사회적 피해에 적절하게 대응하지 못했다고 평가했다.

 

이 보고서의 공동 저자 중 한 사람인 만 퀴는 “중국은 사이버 범죄 입법에서 상당한 진전을 이뤘으며, 이를 강화하기 위해 많은 노력을 기울였다”고 강조했다. 퀴는 영국 켄터베리대학의 컴퓨팅 학부 선임 강사를 맡고 있다.

 

하지만 이 보고서는 중국의 법률은 아직도 개발 초기 단계라고 결론을 내렸다. 퀴는 “전통적인 형법 조항과의 격차와 불일치가 존재한다”고 지적했다.

 

지난 2월 새로운 법안이 통과되기 전까지, 컴퓨터 범죄의 최고형은 징역 3년이었다. 하지만 새로운 법에서는 최고형이 징역 7년으로 늘어났으며, 컴퓨터 범죄의 정의 역시 확대됐다.

 

퀴는 “형법에서의 이런 변화는 사이버 범죄를 단속하는데 매우 중요하며, 사생활과 개인 자산 보호를 강화하는 데도 도움이 된다”고 설명했다.

 

하지만 컴퓨터 사기범이 20년 형을 선고받는 미국과 비교하면 충분히 강력하지 못한 것도 사실이다. 또한 많은 보안 전문가들은 중국이 정치적 목적의 사이버 공격을 후원하거나 눈을 감아주고 있다고 지적하고 있다.

 

중국 해커를 전문적으로 다루는 블로거인 스콧 헨더슨은 새로운 법률은 중국 내에서 사이버 범죄가 확산되기 때문인 것으로 보고 있다.

 

최근에 사이버 범죄자들은 보안 전문가로 가장하고는 소규모 기업에 보안 서비스를 제공하겠다는 제안을 한다. 만약 기업주가 이를 거절하면, 해당 기업에 대해 DDoS 공격을 하는 것이다. 헨더슨은 이제 중국 내부에서도 이런 일이 발생하고 있다고 지적했다.

 

데일린은 경쟁 해커 그룹들에게 DoS 공격을 훈련시킨 후 체포된 것으로 알려졌는데, 피해자들이 사법기관에 증거를 제시했다.

 

중국 경제도 침체를 겪으면서, 일부 IT 전문가들이 지난 2년 동안 범죄 행각에 가담하기도 했다. 베이징의 보안 컨설팅 업체 노운섹(Knownsec) CEO가 웨이 자오는 “당시에는 보안 시장이 너무 작았기 때문에 보안 전문가들이 일자리를 찾기가 너무 어려웠다”고 설명했다.

 

자오는 중국을 “세계 악성 프로그램 공장”이라고 평가하며, 전세계 온라인 공격과 제로데이 공격의 주요 발원지가 되었다고 강조했다.

 

최근 몇 달 동안 중국 해커들은 인터넷 익스플로러나 어도비 플래시를 대상ㅇ로 한 광범위한 공격으로 명성을 얻었다. 하지만 순레이나 QQ, UUSee 등 인기있는 중국 프로그램 역시 공격의 대상이 되고 있다. robert_mcmillan@idg.com



2009.05.12

중국, 자국내 해킹 증가에 사이버 범죄 강경 대응

Robert McMillan | IDG News Service

1년 전, 타임지 기자가 탄 데일린에게 누가 펜타곤을 해킹했는지 알고 있다고 말하자, 데일린은 “FBI가 날 잡으러 요원을 보낼까요?”라고 물었다. 하지만 대답은 틀렸다. 중국 정부가 나선 것이다.

 

중국 해커 그룹 위더레드 로즈(Withered Rose)로 더 잘 알려진 탄 데일린은 지난 달 중국 쳉두에서 체포됐다. 데일린은 이제 지난 2월 통과된 중국의 새로운 사이버범죄 법에 따라 감옥에서 7년을 보내야 한다.

 

비록 지난 수년 동안 서구 언론은 중국발 해킹 이야기로 넘쳐났지만, 최근까지도 중국에서 사이버범죄는 1997년 중국 형법에 추가된 단 3개 조항으로 규제됐다. 전자보안 및 디지털 포렌직 국제 저널에 게재된 중국 사이버 법률에 대한 최근 보고서에 따르면, 중국의 형법은 구시대적이며, 사이버 범죄가 일으키는 엄청난 사회적 피해에 적절하게 대응하지 못했다고 평가했다.

 

이 보고서의 공동 저자 중 한 사람인 만 퀴는 “중국은 사이버 범죄 입법에서 상당한 진전을 이뤘으며, 이를 강화하기 위해 많은 노력을 기울였다”고 강조했다. 퀴는 영국 켄터베리대학의 컴퓨팅 학부 선임 강사를 맡고 있다.

 

하지만 이 보고서는 중국의 법률은 아직도 개발 초기 단계라고 결론을 내렸다. 퀴는 “전통적인 형법 조항과의 격차와 불일치가 존재한다”고 지적했다.

 

지난 2월 새로운 법안이 통과되기 전까지, 컴퓨터 범죄의 최고형은 징역 3년이었다. 하지만 새로운 법에서는 최고형이 징역 7년으로 늘어났으며, 컴퓨터 범죄의 정의 역시 확대됐다.

 

퀴는 “형법에서의 이런 변화는 사이버 범죄를 단속하는데 매우 중요하며, 사생활과 개인 자산 보호를 강화하는 데도 도움이 된다”고 설명했다.

 

하지만 컴퓨터 사기범이 20년 형을 선고받는 미국과 비교하면 충분히 강력하지 못한 것도 사실이다. 또한 많은 보안 전문가들은 중국이 정치적 목적의 사이버 공격을 후원하거나 눈을 감아주고 있다고 지적하고 있다.

 

중국 해커를 전문적으로 다루는 블로거인 스콧 헨더슨은 새로운 법률은 중국 내에서 사이버 범죄가 확산되기 때문인 것으로 보고 있다.

 

최근에 사이버 범죄자들은 보안 전문가로 가장하고는 소규모 기업에 보안 서비스를 제공하겠다는 제안을 한다. 만약 기업주가 이를 거절하면, 해당 기업에 대해 DDoS 공격을 하는 것이다. 헨더슨은 이제 중국 내부에서도 이런 일이 발생하고 있다고 지적했다.

 

데일린은 경쟁 해커 그룹들에게 DoS 공격을 훈련시킨 후 체포된 것으로 알려졌는데, 피해자들이 사법기관에 증거를 제시했다.

 

중국 경제도 침체를 겪으면서, 일부 IT 전문가들이 지난 2년 동안 범죄 행각에 가담하기도 했다. 베이징의 보안 컨설팅 업체 노운섹(Knownsec) CEO가 웨이 자오는 “당시에는 보안 시장이 너무 작았기 때문에 보안 전문가들이 일자리를 찾기가 너무 어려웠다”고 설명했다.

 

자오는 중국을 “세계 악성 프로그램 공장”이라고 평가하며, 전세계 온라인 공격과 제로데이 공격의 주요 발원지가 되었다고 강조했다.

 

최근 몇 달 동안 중국 해커들은 인터넷 익스플로러나 어도비 플래시를 대상ㅇ로 한 광범위한 공격으로 명성을 얻었다. 하지만 순레이나 QQ, UUSee 등 인기있는 중국 프로그램 역시 공격의 대상이 되고 있다. robert_mcmillan@idg.com



X