침해사고/위협동향

中 해커, 한국 공격하며 “대응 방안 제대로 안 지켰다”고 조롱

이종현
24일 오후 10시 30분경 11개 학회 웹사이트가 해킹됐다. 변조된 웹사이트 모습.
24일 오후 10시 30분경 11개 학회 웹사이트가 해킹됐다. 변조된 웹사이트 모습.
[디지털데일리 이종현기자] 중국 국적의 해커로 의심되는 이들이 한국 기관을 대상으로 사이버공격을 이어가고 있다. 20일부터 십여곳 이상의 웹사이트가 해킹된 가운데 국회 사이버보안 관련 보고서를 공유하며 ‘대응 방안을 제대로 지키지 않은게 아닌가 싶다’며 조롱했다.

공격자는 晓骑营(Xiaoqiying, 샤오치잉) 사이버 시큐리티 팀(CYBER SECURITY TEAM)이라고 자칭하는 해커조직이다. 해당 조직은 1월 7일 한국을 대상으로 하는 장기 데이터 유출 작전을 펼치겠다고 ‘선전포고’한 뒤 20일부터 본격적인 공격을 이어가고 있다.

최초로 유출된 것은 건설 관련 기관인 대한건설정책연구원이다. 20일 대한건설정책연구원 웹사이트의 관리자 권한을 탈취한 뒤 자신들의 로고가 팝업창으로 나타나도록 변조(Deface) 공격을 했다. 또 기관 소속 직원의 이름과 연락처, 또 타 기관·기업 관계자의 이름과 기업명, 직책, 이메일 등도 유출했다.

24일에는 11개 학회 웹사이트를 해킹해 변조했다. 공격의 대상이 된 것은 우리말학회, 한국학부모학회, 한국교원대학교 유아교육연구소, 한국고고학회, 한국보건기초의학회, 한국사회과수업학회, 한국동서정신과학회, 대한구순구개열학회, 한국시각장애교육재활학회, 제주대학교 교육과학연구소, 한국교육원리학회 등이다.

해커 측은 이들 웹사이트에 대한 변조 공격에 더해 데이터베이스(DB)를 삭제하고 있다고도 말했다. 복원을 원한다면 자신들에게 연락하라고 했는데, 이는 데이터를 인질로 삼고 협상하는 랜섬웨어 수법이다.

스스로를 중국 정부 소속이 아니며, 자유롭게 활동하는 그룹이라고 소개한 해커는 한국을 공격하는 이유에 대해 ‘한국의 몇몇 스트리밍 스타들이 나를 짜증나게 했다’고 말했는데, 이를 곧이곧대로 믿기는 어렵다. 해커는 자신의 조직 팀원들이 한국을 훈련장으로 이용할 것이라고 말했는데, 이후로도 지속적인 공격을 펼치겠다는 뜻으로 읽힌다.

또 구글 검색을 통해 다음 타깃을 찾았다며 2561개 학회 및 연구소 목록이 담긴 엑셀파일을 공유했다. 비교적 보안이 취약한 학회 및 연구소 웹사이트를 대상으로 한 공격을 이어갈 것으로 추정된다.
한국 기관 해킹 후 보안 조치를 조롱하고 있는 중국 해커조직
한국 기관 해킹 후 보안 조치를 조롱하고 있는 중국 해커조직

해커 측은 한국 국회 정보위원회에서 연구용역을 맡긴 ‘사이버공격을 통한 첨단산업비밀 유출 실태 및 대응방안 보고서’를 공유하기도 했다. 2019년 12월 제출된 보고서는 사이버공격 실태와 그에 대응하는 방안 등이 서술돼 있다. 해커는 이를 공유하며 “대응 방안을 제대로 지키지 않은 게 아닌가 싶다”며 한국 기관들을 조롱했다.

해당 조직의 활동에 국내 사이버보안 관련 기업·기관들도 예의주시하고 있다. 24일 다음 타깃으로 지목된 한국인터넷진흥원(KISA)의 경우 이종호 과학기술정보통신부 장관이 방문해 긴급상황 점검을 펼쳤다. KISA는 국내 민간 영역의 사이버보안을 책임지는 전문기관이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널