중앙일보 해킹, 해커가 남긴 메시지는?

일반입력 :2012/06/11 11:17    수정: 2012/06/11 13:22

김희연 기자

국내 주요 언론사인 중앙일보가 지난 9일 해킹을 당해 파문이 일고 있는 가운데 그 배후와 추가 공격 가능성에 대해 관심이 쏠리고 있다. 현재 보안업계는 해커가 해킹 당시 남겨놓은 변형된 메인화면에 주목하고 있다.

11일 보안 관련업계에 따르면, 해커그룹 ‘이스원(IsOne)’으로 추정되는 집단이 중앙일보 홈페이지 메인화면을 다른 화면으로 변조시키는 공격기법인 디페이스(Deface)를 이용해 공격했다. 디페이스된 중앙일보 홈페이지는 검은 바탕화면에 웃고 있는 고양이 사진이 올려져 있었다. 또한 창 제목에는 ‘Hacked by IsOne’이라는 문구가 나타났다.

현재 복수의 보안 전문가들은 고양이 사진 밑에 표시된 데이터베이스(DB)에서 데이터를 불러오는데 사용하는 SQL문에 주목하고 있다. 여기에는 이번 공격을 감행한 이스원이라는 해커가 메시지를 남겨놓은 것으로 향후 공격과 배후 등에 대해 추측되는 내용들이 있다.

■해커그룹 이스원은 누구?

여기서 먼저 주목할 것은 이스원이라는 해커그룹에 대한 정보다. 이들은 이 SQL문을 통해 이스원 창립일은 지난 2011년 6월9일이며, 등록된 해커 수만 총 1만명에 달한다고 밝히고 있다. 또한 이들이 공격 타깃으로 삼고 있는 대상만 100만개 정도라고 언급했다.

여기에는 추가적으로 이스원의 성별을 여자라고 밝히고 있는데 보안 전문가들은 이는 자신들을 과시하기 위해 표현한 것으로 보인다고 분석했다. 이 밖에도 여러 정황으로 보았을 때 해커집단이 사우디아라비아와 같은 중동 또는 인도네시아 계열 소속 해커일 가능성도 제기되고 있다.

다만 전문가들은 서버를 직접 조사해보지 않는 이상 배후를 현재 정확히 파악하기는 힘든 상태라는 설명이다.

■중앙일보 해킹 화면으로 추측한 다음 공격은?

해커그룹 이스원에 대한 정보보다 더 중요한 것은 이들이 밝히고 있는 타깃이다. 이 구문의 첫 줄에는 이번 공격의 대상이었던 중앙일보에 대한 정보가 게시되어 있다. 공격일시였던 2012년 6월9일과 도메인 ‘www.joongang.co.kr’이 공개되어 있다. 여기서 이스원은 자신들의 공격방법이 지능형지속가능위협(APT) 공격이라고 밝히고 있는 점도 주목할 만하다.

그러나 보안 전문가들은 이들이 남겨놓은 2차, 3차 공격예고에 대해 주시하고 있다. 해커집단은 중앙일보 해킹 다음 공격에 대해 예고하고 있다. 2차, 3차 공격 대상이나 공격방법에 대해서는 물음표로 표시하며 공포심을 조장하고자 한 것으로 보인다.

여기서 눈여겨 봐야할 것은 공격 일시다. 이스원은 2차, 3차 공격 일시로 ‘2012-??-19’, ‘2012-??-29'라고 지목했다. 보안 전문가들은 연내 공격이 이어진다는 것은 예측할 수 있지만 특정 달을 밝혀지 않은 19일과 29일의 각 각 공격이 발생할지에 대해서는 알 수 없는 상황이라는 분석이다.

익명을 요구한 한 보안 전문가는 “이스원이라는 해커그룹이 높은 관심을 받고자 하는 것이 목적인 것으로 보인다”면서 “또한 이번 공격의 특징으로 보아 자동화된 공격보다는 직접 타깃화된 공격일 가능성이 높은 것으로 보이는 것은 물론 혼란을 주기 위해 다양한 메시지를 표기했을 수도 있다”고 예측했다.

또 다른 보안 전문가는 가상 시나리오를 추측해 볼 수도 있다는 설명이다. 그는 “해커들이 심리전으로 중앙일보 공격을 공개적으로 실시하면서 관심을 다른 곳으로 돌린 다음 공개시점에 맞춰 다른 타깃을 공격했을 수도 있다”고 예상했다.

관련기사

그러나 보안업계 일각에서는 현재 거론되고 있는 북한 배후설에 대해서는 회의적인 입장이다. 보안업계 한 관계자는 “북한이 공식적으로 국내 언론사를 타깃으로 공격하겠다는 뜻을 밝혀왔지만 북한이 의심받을 수 있는 너무나 뻔한 시나리오 아래 공격이 이뤄졌다는 것은 미심쩍은 부분이 많다”면서 “경찰 수사와 서버분석을 통해서 밝혀져야 하는 부분이기 때문에 공격 배후에 대해서는 신중한 입장을 보일 필요가 있는 것 같다”고 말했다.

한편 경찰청 사이버테러대응센터는 중앙일보가 해킹으로 정상접속이 이뤄지지 않고 있다는 신고접수를 받아 지난 10일부터 본격 수사에 착수해 진상규명에 나선 상태다.