유명해지고 싶었던 中해커…낡은 방망이로 약한 놈만 때렸다

송혜리 기자 2023. 4. 11. 14:58
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

올해 초 국내를 떠들썩하게 만들었던 중국 해킹그룹 샤오치잉은 정치·사회적 목적을 달성하기 위해 해킹을 자행하는 '핵티비즘(hacktivism)'과는 거리가 먼 '해킹 실력 과시형 집단'이라는 분석이 제기됐다.

이들은 낡은 해킹기법으로 보안이 취약한 국내 기관을 대상으로 삼았다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

기사내용 요약
올 초 국내 학회 등 해킹했던 샤오치잉, 고전적인 해킹기법으로 소규모 기관 공략
KISA "금전적 목적이나 핵티비즘 성격으로 보이기는 어려웠다"

샤오치잉이 해킹하고 변조한 우리말학회 홈페이지 화면(사진=우리말학회 화면 캡쳐) *재판매 및 DB 금지

샤오치잉이 해킹하고 변조한 우리말학회 홈페이지 화면(사진=우리말학회 화면 캡쳐) *재판매 및 DB 금지


【서울=뉴시스】송혜리 기자 = 올해 초 국내를 떠들썩하게 만들었던 중국 해킹그룹 샤오치잉은 정치·사회적 목적을 달성하기 위해 해킹을 자행하는 '핵티비즘(hacktivism)'과는 거리가 먼 '해킹 실력 과시형 집단'이라는 분석이 제기됐다. 이들은 낡은 해킹기법으로 보안이 취약한 국내 기관을 대상으로 삼았다.

11일 한국인터넷진흥원(KISA)은 '샤오치잉 공격 그룹 침해사고 및 대응방안 보고서'를 통해 이같은 분석 결과를 공개했다.

샤오치잉은 지난 1월부터 2월까지 국내 웹사이트를 대상으로 웹페이지 변조, 정보유출 등의 공격을 수행하고 그 결과를 자신들의 홈페이지, 텔레그램, 해킹포럼 등을 통해 공개했다.

이들의 공격은 1월 7일 시작됐다. 깃허브를 통해 국내 기업·기관 직원의 161명의 개인정보를 공개한 데 이어 20일 대한건설정책연구원 홈페이지를 공격했다. 23일에도 한국 정부 부처 데이터 54GB(기가바이트)를 유출했다고 주장했으며, 여기서 그치지 않고 국내 정보통신 보안을 담당하는 KISA를 공격하겠다고 예고했다.

24일 밤엔 11개 국내 학회 홈페이지를 추가로 해킹해 메인화면을 바꾸고 그 명단을 공개했다. 해당 학회 홈페이지 화면은 해킹조직의 문양과 '한국 인터넷 침입을 선포하다' '우리 모임원을 찾는 데 힘써 주세요' 등의 글이 적힌 이미지로 변조됐다.

이들은 이에서 그치지 않고 2월에도 해킹 공격을 이어갔다. 2월 14일엔 새로 합류한 멤버의 해킹 실력을 테스트할 생각으로 이 신규 멤버가 변조했다며 국내 5곳의 서버와 웹페이지를 공개했다.

낡은 공격기법으로 보안 취약한 웹사이트 골라

KISA는 보고서를 통해 국내 피해기업은 대부분 보안에 많은 투자를 하기 어려운 소규모 기업이나 기관이었다고 설명했다.

아울러 신고접수 된 피해기업에 대해 원인분석을 해본 결과, 고전적인 기법인 ▲SQL인젝션과 ▲알려진 취약점 악용 등을 사용한 것을 확인할 수 있었다고 분석했다. SQL인젝션은 웹사이트 취약점을 찾아, 데이터베이스(DB)를 관리하는 SQL 명령어에 악성코드를 삽입하는 해킹 공격 중 하나다.

특히 1월에는 SQL인젝션이나 외부에 노출된 계정정보를 사용해서 침투해서 정보유출까지 수행했지만, 2월은 1건을 제외하고 웹로직(WebLogic) 취약점을 악용했으며, 다른 악성행위 없이 웹페이지 변조만 수행했다. 샤오치잉은 이러한 취약점을 통해 내부 정보에 직접 접근하거나 웹셸, 백도어 등을 업로드해 내부 정보를 탈취했다.

KISA는 "이들의 행위는 국내 언론 및 정부기관 등에 자신들의 해킹 실력을 입증하거나 과시하기 위한 목적으로 풀이된다"면서 "금전적 목적이나 핵티비즘(hacktivism)의 성격으로 보이기는 어려웠다"고 설명했다.

실제 샤오치잉은 해킹사실을 과시하거나 새로운 멤버를 모집하는 목적의 웹페이지를 메인페이지와 교체하거나 추가로 업로드했다. 아울러 샤오치잉은 해킹 사실을 입증하기 위해서 탈취한 정보를 공개했고, 일부 웹페이지를 변조했다.

KISA "중소기업 대상 보안 서비스 제공 중"

KISA는 이와 같은 해킹 공격 예방을 위해 ▲소스 코드에 잠재한 보안 취약점을 제거하고 보안과 관련된 기능을 구현하는 웹 서버 시큐어 코딩 ▲웹 공격을 탐지하고 차단하는 웹 방화벽 설치가 필요하다고 당부했다.

아울러 ▲서버 내 계정정보 업로드 여부 점검 ▲운영체제 및 소프트웨어 버전 업그레이드 ▲중요자료 백업 ▲웹로그 주기적 점검 및 백업 ▲KISA 보안공지 확인 ▲KISA 배포 가이드와 보고서 활용 등도 제언했다.

KISA는 "한국인터넷진흥원에서는 보안에 많은 투자를 하기 어려운 중소기업을 대상으로 다양한 보안 서비스와 보고서를 제공하고 있다"면서 "침해사고 발생 시 중소기업 침해사고 피해지원 서비스를 통해 침해사고 원인분석 및 후속 조치를 지원하고 있다"고 설명했다.


☞공감언론 뉴시스 chewoo@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
뉴시스에서 직접 확인하세요. 해당 언론사로 이동합니다.