작은 기관만 노리는 그놈들 "'스크립트 키디' 수준 추정" [데이터링]

김혜경 입력 2023. 1. 27. 16:39
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

영세한 곳 보안 방안 마련해야…기업 확대 가능성도 '주시'

[아이뉴스24 김혜경 기자] "스크립트 키디(Script Kiddies) 수준으로 보인다."

최근 국내 학회 홈페이지를 대상으로 사이버 공격을 감행한 해커집단에 대해 보안 당국이 내린 평가다. 일반적으로 '스크립트 키디'란 사이버 공간에서 가장 흔한 아마추어 해커를 지칭하는 말이다. 다만 기업으로 확대될 가능성을 배제할 수 없고 영세한 곳의 보안 강화 대책이 시급하다는 점에서 경계를 늦추면 안 된다는 지적이다.

설 연휴 전후로 10여 곳이 넘는 국내 학술단체 홈페이지가 사이버 공격을 받았다. 중국 연계 해커집단의 소행으로 알려진 가운데 추가 공격이 예고된 만큼 각별한 주의가 요구된다. [사진=픽사베]

'샤오치잉(Xiaoqiying, 晓骑营)'이라고 자칭하는 해커집단이 사이버 공격을 공개적으로 알린 것은 지난 7일이다. 이들은 자신들의 홈페이지를 통해 "한국을 겨냥한 새로운 작전을 준비하고 있다"고 알린 이후 지난 21일 해킹포럼 '브리치드(Breached)'에 대한건설정책연구원 관련 데이터로 추정되는 자료를 게재했다. 같은날 해당 연구원 홈페이지 해킹을 통해 대규모 공격을 예고하기도 했다.

25일에는 우리말학회를 비롯한 11개 학술단체를 대상으로 홈페이지 변조(디페이스) 공격 등을 감행했다. 현재 자신들이 운영하는 텔레그램 채널을 통해 피해 기관과 탈취한 데이터 목록 등을 게재하고 있다. 지난 26일 오후 6시께 이들은 피해 기관이 당초 한국 정부가 밝혔던 12곳보다 훨씬 많다고 재차 주장하고 나섰다. 당시 탈취한 데이터 일부를 공개하기도 했지만 현재는 삭제된 상태다.

이들 조직은 지난 26일 오후 6시께 피해 기관이 당초 한국 정부가 밝혔던 12곳보다 훨씬 많다고 재차 주장하고 나섰다. [사진=텔레그램 대화창 캡쳐]

이들 조직은 다음 공격 목표물로 한국인터넷진흥원(KISA)을 지목했지만 아직까지는 잠잠한 상황이다. 보안업계에서는 이들이 초보 수준의 해킹 실력을 보유하고 있다고 보고 있다. 기술과 지식은 상대적으로 부족하지만 과시 목적에 가깝다는 것이다.

우크라이나 특수통신정보보호국(SSSCIP)이 지난해 발간한 보고서에 따르면 우크라이나 당국은 해커집단을 크게 ▲군사적 목적으로 움직이는 해커부대 ▲과거 서구 금융기관 등을 노린 범죄에 가담했지만 최근 러시아에 합류해 활동하는 그룹 ▲스크립트 키디 등으로 분류했다. 첫 번째와 두 번째 유형의 경우 높은 수준의 기술을 보유한 해커가 포함돼 있으며 다크넷의 다른 그룹들과도 폭넓은 관계를 형성하고 있다는 특징이 있다.

KISA 관계자는 "일정 수준의 능력이 있다면 이를 증명하기 위해서라도 이미 KISA를 공격했거나 탈취한 데이터를 공개했을 것"이라며 "장기간 추적할 만한 해커집단도 아닐뿐더러 사회 혼란을 일으키는 것이 목적이기 때문에 과도한 관심은 지양해야 한다"고 말했다.

국정원 관계자는 "중국인이 참여하고 있는 민간 해커집단으로 추정하고 있다"며 "지난해 5월 발생한 의료 협회 건도 인지는 하고 있지만 이번 사건과 연관성이 있는지 여부에 대해선 신중하게 들여다 보고 있다"고 전했다.

보안업계 일각에서는 이들 조직의 전신을 '텅셔(Tengshe, 腾蛇)'라는 해커집단으로 추정하고 있다. 국내 한 보안전문가는 "텅셔는 2021년부터 활동을 시작했고 지난해 5월쯤 국내 의료 관련 한 협회를 공격한 바 있다"며 "지난해 12월 말 이름을 바꿨는데 조직에서 탈퇴한 멤버들이 새로운 리더와 결성한 조직이 샤오치잉"이라고 말했다.

이번 공격에 앞서 지난 17일 '제네시스 데이(Genesis Day)'라는 해커집단은 자신들이 삼성그룹의 데이터를 탈취했다고 주장한 바 있다. 이 전문가는 "텅셔 멤버가 만든 조직"이라며 "차오치잉과 밀접한 관계를 유지하고 있다"고 전했다.

해당 조직은 당시 한 해킹포럼에 "최근 한국은 NATO와 협력을 강화하고 있다. 계속 이런 식이면 (이번 데이터 유출은) 시작에 불과할 것"이라며 임직원 계정 등 2.4GB 규모의 자료를 획득했다고 주장했다. 이들이 올린 샘플 파일에는 특정인의 이름과 메일주소 등 복수의 계정들이 포함됐다.

KISA가 삼성 측으로부터 전달받은 결과 해당 직원은 한국 본사 혹은 계열사 소속은 아닌 것으로 확인됐다. KISA 관계자는 "해외 용역업체 직원일 가능성이 높다고 들었다"며 "침해사고로 공식 접수되지는 않았고 이번 건과 연관성이 있다고 보기 어렵다"고 했다. 현재 해당 게시글은 삭제된 상태다.

현재까지 피해가 확인된 홈페이지들은 보안이 상대적으로 허술하다는 공통점이 있다. 단순 호스팅 서비스를 제공받아 별도 보안 담당자가 없거나 운영에만 치중하고 있다는 구조적인 문제가 있다는 지적이다.

김성동 SK쉴더스 탑서트(Top-CERT) 담당은 "영세한 홈페이지들은 호스팅사에서 제공하는 최소한의 보안 서비스라도 이용하는 방안이 필요하고 이들을 구조적으로 모아서 관리하는 방안도 고민해봐야 할 것"이라고 말했다.

이어 "현재 이들은 한국 정부 관련 사이트를 목표물로 삼고 있지만 기업으로 확대될 가능성도 배제할 수 없다"며 "이미 피해를 입은 기관과 비슷한 수준의 보안 환경을 유지하고 있는 기업의 경우 반드시 대비책을 마련해야 한다"고 덧붙였다.

/김혜경 기자(hkmind9000@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]

Copyright © 아이뉴스24. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?