“초보 해커에 뚫린 허술한 보안” 中 해커에 공격당한 12곳 분석해보니

해킹 공격을 받은 한국학부모학회 홈페이지 캡처 화면. /뉴스1

중국에 기반을 둔 것으로 추정되는 해커 조직 ‘샤오치잉(晓骑营)’이 국내 학술기관 등 12곳을 해킹했다. 이 조직은 한국인터넷진흥원(KISA)을 비롯해 국내 정부 기관과 언론사 등 2000여곳을 다음 목표로 지목했다. 하지만 보안 전문가들은 현재까지 공개된 해킹 규모나 기법 등을 봤을 때 대규모 사이버 공격으로 이어지기는 쉽지 않다고 판단했다. 해킹 피해를 입은 홈페이지는 12곳에 불과하고, 대부분 보안이 취약한 소규모 비영리 연구·학회 웹사이트였기 때문이다. 기법도 웹사이트를 관리하는 웹호스팅 업체의 서버를 직접 해킹한 것이 아닌, 악성 코드로 홈페이지 관리자 권한을 취득해 화면을 변조(디페이스)하는 상대적으로 난도가 높지 않은 해킹 기법을 사용했다.

샤오치잉 해커 조직이 텔레그램을 통해 한국인터넷진흥원(KISA)를 해킹하겠다고 공지한 글 /텔레그램 캡처

◇ 외부 웹호스팅 업체에 의존해 보안 취약

26일 조선비즈가 해킹 피해를 본 12곳을 분석한 결과, 6곳이 웹호스팅 업체 A사, 5곳이 B사를 사용하고 있는 것으로 나타났다. 웹호스팅이란 중소기업의 서버(데이터 저장·관리 컴퓨터)나 인터넷 홈페이지를 위탁받아 관리해주는 것이다.

A사와 B사는 웹호스팅업계 중위권 업체들이다. A사의 경우 트래픽에 따라 월 4500원에서 5만원짜리 상품을 판매 중이다. 5만원만 내면 홈페이지를 운영할 수 있다는 의미다. 12개 사이트 대부분이 보안책임자 없이, 웹호스팅 업체에만 의존하는 구조라 보안이 취약할 수밖에 없다.

실제 해킹이 지난 24일 발생했지만, 해커가 바꿔치기한 이미지가 하루가 지나도 그대로 노출됐고 아직 복구를 못한 점을 봤을 때, 홈페이지가 전문적으로 관리되지 않고 있다는 것을 유추할 수 있다.

악성 자바 스크립트 해킹 공격 시나리오 /인포섹 블로그 캡처

이번 해킹은 ‘웹 변조(디페이스) 해킹’으로 해커가 홈페이지의 관리자 권한을 탈취해 메인 화면을 바꾸는 방식으로 이뤄졌다. 계정 탈취는 HWP, PDF 등 사용자가 익숙한 파일에 악성코드를 심어 메일을 보내 관리자가 메일을 열면 PC에 악성코드를 심는 방식으로 이뤄진다. 악성코드에 감염된 PC에서 로그인을 위해, ID와 비밀번호를 입력하면 글자가 공격자의 PC로 전송되는 식이다.

또 웹 페이지 소스를 확인한 뒤 악성 자바스크립트를 삽입하는 웹쉘(web shell)을 삽입하는 방법도 있다. 웹쉘은 웹서버를 장악하기 위해 업로드 취약점을 파고들어 관리자 권한을 획득함으로써 원격으로 시스템에 명령을 내릴 수 있는 악성코드를 말한다. 이렇게 관리자 권한을 획득한 해커는 홈페이지 소스 코드를 변경에 디자인을 변경하거나 자신이 원하는 이미지를 노출시킬 수 있게 된다.

샤오치잉 조직이 12개 기관의 홈페이지를 해킹한 뒤, 샤오치잉 로고와 함께 ‘한국 인터넷 침입을 선포하다’라는 메시지 이미지를 노출한 것을 보면 이러한 수법이 사용된 것으로 추정된다.

교육부 관련 70개 웹사이트를 공격했다는 인증글의 모습 /다크웹 캡처

샤오치잉은 지난 24일 다크웹을 통해 한국 교육부와 관련된 웹사이트 약 70개를 공격해 웹사이트를 삭제했다고 밝히며, 리스트를 공개하기도 했다. 하지만 KISA 측이 밝힌 해킹 피해 사이트는 총 12개로 70개와는 큰 차이가 있다. 피해 사례가 늘 순 있지만, 현재 추가 확인된 피해 사례는 없는 상태다.

김승수 고려대 정보보호대학원 교수는 “보안이 취약한 학회 등 작은 사이트의 이미지를 바꿨을 뿐이고, 현재까지의 피해 규모와 기법 등을 놓고 봤을 때 전문 해킹 조직의 대규모 공격이라고 볼 순 없다”라고 했다.

◇ 보안당국 “추가 피해 사례 없어”

보안당국은 이번 해킹이 웹호스팅 업체의 서버를 직접 겨냥한 것은 아닌 것으로 판단하고 있다. 과기정통부 관계자는 “웹호스팅 업체가 당했을 경우, 대행하고 있는 수백, 수천개의 홈페이지에 영향을 줄 수 있다”며 “이번 공격의 실체가 진짜 샤오치잉 조직인지도 확인되지 않았다”고 했다. 현재 국가정보원과 경찰이 관련 조사를 진행하고 있는 것으로 알려졌다.

전문가들은 이번 해킹의 목적성으로 보더라도 대규모 피해로 이어질지에 대해서 의문을 표시하고 있다. 보통 해커의 경우, 돈이나 명예를 목적으로 해킹을 시도하는 경향이 강하다. 해킹을 한 뒤 돈을 요구하거나 보안이 강한 정부 기관, 대기업 등의 사이트를 해킹한 뒤 실력을 입증하는 식이다. 하지만 디페이스 해킹의 경우, 자신의 해킹 실력을 과시하려는 경향이 강한 해킹 기법이다.

개인 정보 유출 등 대규모 피해가 없었다는 점도 이번 해킹의 수위가 높지 않았다는 것을 보여준다. 처음 사이버 공격이 인지된 대한건설정책연구원의 경우 유관기관명, 구성원 이름, 연락처 등이 유출됐는데 이는 대부분 공개된 정보다.

이종호 과학기술정보통신부 장관이 지난 24일 한국인터넷진흥원 인터넷침해대응센터(KISC)를 방문하여 홈페이지 해킹 등 사이버 공격 현황 및 비상대응체계 상황을 점검하고 있다. /과학기술정보통신부 제공

한국인터넷진흥원은 24시간 모니터링 체계를 가동하고 있다. 이번 해킹이 “우리 정부의 중국인 입국제한 조치에 대한 반발로 나왔다”, “한국의 유튜버들이 자극했다”, “한복, 음력설 문화 등 원조 논쟁” 등 갖가지 루머가 나오고 있다.

염흥열 순천향대 정보보호학과 교수는 “아직 조사 결과가 발표되지 않아 단정할 순 없지만, 해킹과 관련해 여러 언론에서 보도되고 커뮤니티에서 추측이 제기되는 등 사회적 혼란을 야기시켰다는 점에서 해커의 의도가 충족됐다고 볼 수 있다”라며 “다만, 피해를 본 12개 기관 웹사이트를 보면 강력한 보안 체계를 갖춘 곳이라 보기 어렵고, 학회 등에 기밀정보 등이 있는 것도 아니기 때문에 특정 국가가 주도한 고도의 해킹이라고 보기 어렵다”고 했다. 염 교수는 “진짜 전문가 해커라면 정부 등 파급력이 큰 해킹 성공 사례부터 공개했을 것 같다”며 “국내 정부기관 등 2000여곳을 공격하겠다는 예고도 100% 사실이라고 신뢰하기 어렵다”고 했다.

샤오치잉은 중국 진나라 시절 군사조직 이름이다. 이 조직은 지난 7일 한국을 대상으로 장기 데이터 유출 작전을 펼치겠다고 선언했다. 샤오치잉에 의한 웹페이지 침해사고 추가 신고는 KISC 홈페이지(certgen@krcert.or.kr) 또는 KISC 종합상황실(02-405-4911)로 할 수 있다.

박성우 기자(foxpsw@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>