누리꾼 수사대, 카페베네 해킹범은 일본인?

일반입력 :2013/02/25 13:50

손경호 기자

지난 주말 발생한 카페베네 홈페이지 해킹사건에 대해 일명 '누리꾼 수사대'가 해킹범 수사에 나섰다. 각종 블로그 등 온라인 커뮤니티를 통해 누리꾼들은 해킹범이 일본 혹은 터키 사람으로 추정되며 '디페이스먼트(홈페이지위변조)'라는 해킹수법을 사용한 것으로 미뤄 해당 사이트에 대한 내부 서버 접근권한까지 가질 수 있었던 것으로 판단 된다는 등의 분석을 내놓았다.

25일 온라인 커뮤니티에 따르면 중앙일보 홈페이지 해킹 사건과 마찬가지로 해커는 디페이스먼트를 통해 카페베네 홈페이지 메인화면을 귀신이 등장하는 홈페이지로 바꿨다.

보안전문가들은 디페이스먼트 수법이 사용됐다는 것은 홈페이지의 관리자 권한을 모두 가졌다는 뜻이며, 이를 통해 회원정보나 회사 관련 정보를 빼갈 수 있다는 점에서 위험하다고 밝혔다. 이는 홈페이지를 구성하는 HTML파일에 악성코드를 심는 방법과는 다르다. 아예 홈페이지 자체에 다른 형태의 HTML 파일을 심어넣는 것으로 대놓고 자신이 해킹했다는 것을 알린다는 점에서 고급 해킹 기법을 사용하지는 않은 것으로 나타났다.

이 해커는 카페베네 홈페이지에 자신이 해킹했다는 점을 알리기 위해 'hacked by SeRsEriDeLiKaN'이라는 문구를 보여주고 있다. 구글을 통해 'SeRsEriDeLiKaN'을 검색해보면 'zone-h'라는 사이트에 그동안 이 해커가 해킹한 홈페이지, 운영체제(OS), 해킹수법 등을 정리해 놓고 있다.

이 사이트에 따르면 카페베네 해킹범은 약 3천483건의 디페이스먼트를 감행했다. 이중 대다수는 한국 홈페이지인 것으로 확인됐다. zone-h는 해커들이 자신들이 해킹한 사이트를 과시하기 위해 일종의 '전적'을 게재하고 있다.

이밖에도 누리꾼들은 'SeRsEriDeLiKaN'를 검색하면 터키어로 된 홈페이지로 연결되며 이들은 국제적으로 악명높은 해커조직이라고 밝혔다. 또다른 누리꾼 '오토레이서(jooani1112)'는 네이버에서 이 해커의 이름을 검색하니 'christianworld.ca'라는 캐나다 도메인 홈페이지 주소로 연결되며 일본인으로 추정되는 인물이 일본커뮤니티를 통해 활동하고 있다는 사실을 알게됐으며, 공격을 시도한 아시아 사이트 중 약 80%가 한국사이트였다고 주장했다.

관련기사

현재 카페베네는 경찰청사이버테러대응센터에 수사를 의뢰하고, 한국인터넷진흥원(KISA), 안랩 등에게 기술분석을 요청한 상황이다. 안랩 관계자는 어젯밤부터 분석에 들어갔다며 디지털 포렌식을 거쳐야 하기때문에 결론이 나오기까지는 생각보다 시간이 소요될 것으로 예상된다고 밝혔다.

전상훈 빛스캔 이사는 카페베네만이 아니라 웹호스팅 회사의 서버를 탈취해 수많은 국내 중소규모 사이트를 공격한 것으로 보인다며 실제로 큰 피해를 입히기 보다는 과시성 공격인 것으로 판단된다고 설명했다.