미국 법무부는 이탈리아 당국이 미국의 요청에 따라 중국 국적의 사이버 범죄 용의자 쉬쩌웨이(Xu Zewei, 33세)를 체포했다고 발표했다.

쉬는 7월 3일 밀라노에서 체포되었으며, 미국은 그에 대한 범죄인 인도 절차를 진행 중이다. 미국 연방 법무당국은 그가 중국 정보기관의 지시에 따라 대규모 해킹 공격을 주도했다고 보고 있다.

쉬는 또 다른 공범 장위(Zhang Yu)와 함께 2020년부터 2021년까지 수천 대의 컴퓨터 시스템을 침해한 혐의를 받고 있으며, 그 중에는 미국 내 연구기관과 대학, 로펌 등이 포함되어 있다.

특히 이들은 코로나19 백신 및 치료제 연구를 수행하던 미국 과학자들을 대상으로 정밀한 해킹 공격을 감행해 민감한 연구 자료를 탈취한 것으로 알려졌다.

법무부에 따르면, 쉬와 장은 중국 국가안전부(MSS) 산하 상하이국가안전국의 지시를 받아 활동했으며, 당시 ‘Shanghai Powerock Network Co., Ltd.’라는 기업의 소속으로 위장했다. 이 기업은 중국 당국의 후원을 받는 ‘위장된 민간 사이버 침투 기업’ 중 하나로 지목되고 있다.

이들이 주도한 해킹 조직은 'HAFNIUM'으로 불리며, 2020년 말부터는 Microsoft Exchange Server의 알려지지 않은 취약점(제로데이)을 악용해 세계 각국 수천 개 기관을 상대로 대규모 침투 작전을 벌였다. Microsoft는 2021년, 이 조직이 중국 정부의 지원을 받아 활동하고 있다고 공식 발표한 바 있다.

피해 기관에는 미국 텍사스주의 대학 네트워크, 글로벌 로펌, 그리고 백신 및 바이러스 연구기관 등이 포함된다. 특히 이들 해커는 이메일 시스템을 통해 특정 정부 기관과 정책입안자에 대한 정보를 수집하고 도청한 것으로 파악된다.

미국 법무부는 이번 사건을 두고 "중국 정부가 민간 기업과 계약자를 동원해 자국의 사이버 공격 관여를 은폐하는 수법을 보여주는 최신 사례"라고 지적했다.

연방수사국(FBI)의 네트워크 부국장 브렛 레더먼은 성명에서 “쉬쩌웨이와 그 일당은 전 세계가 팬데믹과 싸우던 2020년, 미국 대학들의 획기적인 COVID-19 연구를 훔쳤다”며, “HAFNIUM은 6만 개 이상의 미국 기관을 목표로 삼았고, 1만 2천 건 이상의 민감한 정보를 탈취했다”고 밝혔다.

그는 또한 “이번 체포는 FBI와 이탈리아 법집행기관 간의 긴밀한 협력을 통해 가능했으며, 이는 중국 공산당이 지원하는 사이버 범죄에 맞서겠다는 미국의 결의를 보여준다”고 강조했다.

쉬는 현재 전기통신 사기, 신분 도용, 보호된 컴퓨터 시스템 무단 침입 및 파괴 등 9건의 중대 범죄 혐의로 기소되었으며, 향후 미국으로 송환될 경우 연방 법정에서 재판을 받을 예정이다.

미 법무부는 “기소는 혐의를 제기하는 문서일 뿐이며, 쉬쩌웨이는 합리적 의심 없이 유죄 판결이 내려지기 전까지는 무죄로 추정된다”고 덧붙였다.

이번 체포는 팬데믹 시기의 사이버 안보 취약성을 다시금 상기시키며, 중국의 국가 차원의 해킹 활동에 대한 국제적 대응이 한층 강화되고 있음을 보여주는 사례로 평가된다.

장·춘 <취재기자>