돌아온 샤오치잉 "해킹으로 한국 보안회사 주가 올리겠다"…속셈은?

KISA(한국인터넷진흥원)가 중국 해커그룹 '샤오치잉'의 국내 기업에 대한 사이버 공격을 감지하고 대응에 나섰다. 샤오치잉은 지난 2월 공격 중단을 선언한 지 두달 만에 다시 국내 기업 대상 사이버 공격에 나섰다.

24일 KISA에 따르면 KISA 사이버침해 대응팀은 22일 새벽 샤오치잉 텔레그램을 통해 해킹 피해 내용을 확인한 뒤 해당 기업에 통보했다. 샤오치잉은 '한국인프라' 홈페이지를 공격한 뒤 웹사이트를 변조(디페이스)했다.

1998년 설립된 한국인프라는 기술자료관리시스템 등 정보인프라 구축을 지원하는 매출 400억원 규모의 기업이다. 현재 한국인프라 홈페이지는 접속이 불가하다. 샤오치잉은 텔레그램에서 한국인프라 직원 이메일과 연락처 등의 데이터를 해킹했다고 밝혔다.

샤오치잉은 한국인프라 해킹 직후 텔레그램에 "한국 보안 기업 주가 상승을 위해 사이버 공격을 감행하겠다"는 글을 올렸다. 해킹 사실이 언론 등을 통해 알려지면서 관련 보안 기업들의 주가가 오를테니 미리 매수했다가 차익을 거두려는 속셈으로 보인다. 이들은 한 보안 기업의 주가 그래프를 공유하기도 했다.

KISA는 샤오치잉의 공격 방식을 고전적인 수법으로 파악하고 있다. KISA는 지난 10일 보고서에서 샤오치잉이 취약한 웹사이트만 골라 인터넷에서 쉽게 구할 수 있는 해킹 툴인 Sqlmap와 Nuclei 등을 이용해 공격했다고 밝혔다.

샤오치잉은 WAS(웹 응용 서버)의 취약점도 노렸다. 대표적으로 샤오치잉은 SQL 인젝션 기법으로 공격했다. 웹을 통해 SQL 명령어를 전달했고 데이터베이스에 저장돼 있는 웹 관리자 계정 정보를 탈취한 것이다.

샤오치잉이 텔레그램에서 공유한 주가그래프/사진=텔레그램

또 관리자의 실수로 계정 정보나 민감 정보가 웹 서버에 업로드되는 것을 노렸다. 이들은 본래 개발 환경에만 존재해야 하는 파일인 SFTP 계정 정보 등이 웹 서버에 업로드되자 이를 다운로드받아 접속정보를 획득하는 등 공격에 악용했다.

아울러 샤오치잉은 오라클에서 배포하는 WAS 웹 로직 구 버전의 취약점을 이용해 침투했다. 이 기법으로 피해를 입은 기업 3곳은 공개된 지 10년 이상된 구 버전의 웹 로직을 사용 중이었다. 이들 기업은 보안 업데이트도 최신 버전으로 적용하지 않았다.

샤오치잉은 1월7일 깃허브를 통해 국내 기업·기관 직원 161명의 개인정보를 공개했다. 같은 달 20일에는 대한건설정책연구원 홈페이지를 공격했고 23일에는 한국 정부 부처 데이터 54기가바이트를 유출했다고 주장했다. KISA를 공격하겠다던 샤오치잉은 24일 저녁 11개 국내 학회 홈페이지를 해킹한 뒤 디페이스 공격을 감행하기도 했다.

그러던 샤오치잉은 2월 들어 "한국 내 활동을 일시적으로 중단했다. 한국은 더 이상 목표가 아니다"라는 글을 올리며 활동 중단을 선언했다. 하지만 보안 업계에서는 해커 조직이 언제든 이름을 바꿔 재등장할 수 있어 보안 업데이트 등 주의를 기울여야 한다는 목소리가 나왔다.

KISA 관계자는 "정보유출 부분은 조사를 해봐야 정확히 알 수 있다"며 "현재 사고 조사 중"이라고 말했다.

이정현 기자 goronie@mt.co.kr