中해커에 '숭숭' 뚫린 홈피 12곳…어떻게 '우수수' 당했나

초보 해커 공격에 작은 학술·연구기관 홈페이지 피해

SQL 인젝션 등 고전적 수법…"통합 관리 시스템 필요"

중국 해커 조직 '샤오치잉' 로고 (샤오치잉 홈페이지 갈무리)

(서울=뉴스1) 오현주 기자 = 중국 해커 '샤오치잉'(Xiaoqiying)이 설 연휴 동안 국내 학술·연구기관 12곳 홈페이지를 해킹한 가운데, 신흥 조직이 어떻게 빠른 시일내 공격에 성공했는지 관심이 쏠리고 있다.

별도 보안 인력을 두기 어렵고, 웹호스팅(홈페이지 관리) 업체만 의존하는 작은 학회 등의 사이트 보안을 한번에 관리할 수 있는 국가적 시스템이 필요하다는 분석도 나온다.

29일 SK쉴더스 등 보안업계에 따르면 총 12곳은 모두 홈페이지가 바뀌는 쉬운 난이도의 '디페이스'(Deface) 공격을 받았는데, 공개된 외부 홈페이지에서 'SQL 인젝션' 수법이 더해진 결과로 분석된다.

'SQL 인젝션'은 데이터베이스(DB) 관리 언어인 SQL(Structured Query Language)을 활용해 웹사이트의 취약점을 찾고 DB를 조작하는 고전적인 공격 수법이다.

웹 페이지 소스를 확인한 뒤 악성 자바 스크립트를 심는 '웹쉘'(Web Shell) 삽입 방법도 활용된 것으로 보인다. '웹쉘'은 파일 업로드 기능의 취약점을 노려, 관리자 권한을 빼내 원격 명령을 내릴 수 있는 악성코드다.

SK쉴더스 측은 "(해커가) 거점 확보에 사용한 웹쉘은 디렉토리 조작과 파일 다운로드 및 업로드가 가능한 종합 웹쉘과 한 줄 웹쉘 등으로 확인됐다"고 말했다.

그렇다면 총 12곳의 연구소·학회가 순식간에 초보 해커의 공격에 넘어간 이유는 무엇일까. 앞서 중국 해커는 21~22일쯤 대한건설정책연구원을, 24일쯤 △우리말학회 △한국고고학회 △한국학부모학회 등 11곳을 추가로 더 해킹했는데 모두 약 3일 내 벌어졌다.

업계는 이들이 각자 서버 내 별도 보안존 없이 데이터센터(IDC) 내 단순 호스팅 서비스를 받는 형태로, 보안이 취약했던 게 발목을 잡았다고 본다.

보안업계 관계자는 "도메인을 만들어서 사용하는 곳이 해킹을 당했는데, 보안 솔루션 운영·취약점 점검·주기적 모니터링 등의 체계가 존재하지 않아 손쉽게 해킹을 당할 수 있는 구조였던 것으로 보인다"고 짚었다.

현재 해커는 추가적인 공격도 예고한 상태다. 이들은 12곳의 웹사이트 해킹을 한 뒤, 지난 25일 텔레그램 채널에서 "작업을 시작한다(Start Work)"라는 메시지를 남겼다.

또 조직은 인터넷 주소(URL)가 'go.kr' 또는 're.kr'로 끝나는 기관 사이트에 대한 사이버 공격을 시도할 인원을 모집하고 있고, '텅 스네이크'(샤오치잉 전신 추정)와 '제네시스 데이' 같은 다른 조직과 함께 움직인다는 메시지를 남겼다.

보안 업계는 국내 연구기관 등을 향한 향후 공격을 예방할 방안으로 영세한 학회·연구소를 한번에 통합관리할 수 있는 시스템을 꼽는다.

침해사고 대응 전문가인 김성동 SK쉴더스 탑서트 담당은 "보안에 투자할 여력이 많지 않은 영세한 기관이나 협회 등은 웹 호스팅사에서 제공하는 최소한의 보안 서비스를 이용하거나 보안 기업이 제공하는 IDC 전용 보안 공유 서비스를 구축해야 한다"며 "이런 학회·연구소들을 모아 한 번에 관리할 수 있는 시스템을 도입하는 방안도 고려해 볼 수 있다"고 말했다.

이와 함께 국내 기관 및 소규모 기업들이 이번 해킹 공격 피해를 점검할 수 있는 여러 방안도 권고된다.

대표적인 것은 공식 홈페이지 내 '파일 업로드 기능' 상태를 확인한 뒤 웹쉘 업로드 가능성 여부를 점검하는 것이다. 웹 방화벽(WAF)을 활용해 외부에서 유입되는 SQL 인젝션 공격을 탐지하고 차단하는 것도 좋다.

개인정보보호유출이 걱정되는 개인의 경우 개인정보보호위원회와 한국인터넷진흥원(KISA)이 운영하는 '털린 내 정보 찾기' 서비스를 이용하는 것도 방법이다.

이를 통해 자주 사용하는 아이디(ID)와 비밀번호(PW)를 입력하면, 개인정보가 다크웹(특수 프로그램으로만 접속 가능한 인터넷)이나 해커 포럼에서 거래되는지 알 수 있다.

한편 정부는 국가정보원·경찰·KISA 등과 협력해 대응에 집중하고 있다. 국정원 관계자는 "국정원 국가사이버안보센터 내 사이버위기관리단을 중심으로 대응중이고, 위기정보공유시스템을 통해 국가 공공기관과 주요 민간기업 대상으로 위협 정보 및 보안강화 공고문 등을 공유한다"며 "유관기관과 합동으로 피해 기관 조사 복구 및 해킹이 예상되는 기관에 대해 보안조치를 지원하고 있다"고 말했다.

woobi123@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포 금지.