/사진=게티이미지뱅크
/사진=게티이미지뱅크
일본 자위대가 악성코드가 심어진 중국산 USB를 1년 넘게 사용해 온 사실이 뒤늦게 밝혀진 가운데, 중국인 유학생을 활용한 대규모 사이버 공격의 정황까지 드러나 일본 사회가 충격에 빠졌다.

28일 니혼게이자이신문에 따르면 일본 경시청 공안부 수사 과정에서 한 중국인 유학생이 중국 내 특정인물로부터 스마트폰 채팅을 통해 반복적인 지시를 받은 사실이 드러났다.

그가 들은 명분은 “국가에 공헌하기 위해서”였다. 유학생은 일본 내 서버를 가명으로 계약하는 등 지시를 수행했고, 이후 “일본산 USB 메모리를 대규모로 구매해 중국으로 보내라”는 요구를 받았다.

수사당국이 추적한 결과, 해당 유학생이 관여한 서버는 2016~2017년에 발생한 대규모 사이버 공격의 ‘경유지’로 악용된 것으로 드러났다. 당시 미쓰비시전기와 우주항공연구개발기구(JAXA) 등 약 200개 기업과 연구기관이 공격 대상이 됐다.

경시청은 서버 계약 과정에서 사용된 가명과 관련 정보를 토대로 유학생을 특정했다. 수사는 곧 중국 인민해방군과 연결된 의혹으로 향했다. 지시를 내린 것으로 추정되는 인물의 가족 중에는 중국군 ‘61419부대’ 관계자가 있었던 것으로 파악됐다. 이 부대는 중국 산둥성 칭다오에 거점을 둔 사이버 공격 조직으로 알려져 있으며, 중국계 사이버 스파이 집단을 지휘하는 역할을 맡는 것으로 지목돼 왔다.
기사와 직접적 관련 없음./사진=게티이미지뱅크
기사와 직접적 관련 없음./사진=게티이미지뱅크
해당 집단은 일본을 집중적으로 노린 공격을 반복해왔고, 일본과 미국·유럽 수사기관은 이를 ‘틱(Tick)’이라는 이름으로 추적하고 있다. 이 조직은 USB에 악성 프로그램을 심는 새로운 방식의 공격을 시도한 것으로 알려졌다. 경시청은 발견된 악성코드와 통신 기록 등을 분석해 틱의 관여를 판단했다.

수사당국은 유학생이 칭다오로 보낸 USB가 공격 방식 연구를 위한 자료로 활용됐을 가능성을 배제하지 않고 있다. 틱은 USB뿐 아니라 일본에서만 유통되는 보안 소프트웨어에도 관심을 보였고, 유학생에게 구매 지시를 내린 정황도 확인됐다.

유학생은 가명과 존재하지 않는 기업명을 이용해 소프트웨어 판매 대리점에 접근했다. “제품이 바로 필요하다”고 요청했지만, 회사 등록 정보가 없고 무료 이메일 계정을 사용하는 점을 수상하게 여긴 업체가 거래를 거부하면서 구매 시도는 실패했다.

이후 유학생은 경시청 조사를 받은 뒤 중국으로 귀국했고 다시 일본에 입국하지 않았다. 일본 수사당국은 2021년 12월 가명 사용 등을 통한 소프트웨어 구매 시도 혐의로 체포영장을 발부했다. 수사 관계자는 “중국의 스파이 공작에 민간인이 이용된 것으로 볼 수 있다”고 밝혔다.

도쿄=최만수 특파원 bebop@hankyung.com