中 해킹그룹, 국내 학술기관 12곳 해킹…추가 공격 예고

중국 해킹 그룹이 국내 12개 학술기관의 홈페이지를 해킹했다. 이 해킹 그룹은 향후 정부 기관과 한국인터넷진흥원(KISA)도 해킹하겠다고 밝혀 주의가 요구된다.

KISA는 25일 "22일 홈페이지가 해킹된 대한건설정책연구원을 포함해 12개 기관 홈페이지가 해킹을 당했다"고 밝혔다. 홈페이지가 해킹된 곳은 ▲대한건설정책연구원 ▲우리말학회 ▲한국고고학회 ▲한국학부모학회 ▲한국교원대학교 유아교육연구소 ▲한국보건기초의학회 ▲한국사회과수업학회 ▲한국동서정신과학회 ▲대한구순구개열학회 ▲한국시각장애교육재활학회 ▲제주대학교 교육과학연구소 ▲한국교육원리학회다. 해당 홈페이지는 현재 접속할 수 없는 상태다.

'샤오치잉'이라는 이름의 중국 해킹 그룹은 2021년부터 활동해 온 것으로 알려졌다. 이들의 활동을 처음으로 포착한 국내 사이버보안 전문가는 "이들 그룹은 2021년부터 활동을 이어오고 있는 그룹으로, 중국인들이 주를 이루고 있으며 외국인도 조금 있다"고 말했다.

이들은 스스로 국가 배후 조직은 아니라고 밝혔다. 이들은 24일 성명을 통해 "중국 정부를 위해 일하지 않으며, 우리 팀은 프리 그룹이다"라고 밝혔다.

이들은 한국을 해킹 훈련장으로 삼았다. 성명에서 "우리 팀은 한국을 트레이닝 그라운드로 사용할 것"이라며 "각 멤버들이 해킹에 참여할 것"이라고 밝혔다. 또한 이들은 한국을 훈련장으로 삼은 이유로 한국 스트리밍 스타가 자신을 화나게 했기 때문이라고 밝혔다.

보안전문가에 따르면 이들은 지난해 의료협회를 해킹해, 데이터를 비트코인을 받고 판 전적이 있는 것으로 알려졌다.

보안전문가에 따르면 이들은 '제로데이 공격' 수법을 사용했다고 주장하는 것으로 알려졌다. 제로데이 공격은 시스템의 보안 취약점이 발견된 뒤, 이를 막을 수 있는 패치가 발표되기 전에 해당 취약점을 이용해 공격하는 수법이다. 보안전문가에 따르면 이번에 해킹된 12개 기관은 모두 하나의 서버를 이용한 것으로 확인됐다.

보안전문가는 "해당 해킹 그룹은 스스로 제로데이 취약점을 이용했다고 주장한다"면서 "이들은 SQL 인젝션 공격을 이용해 다른 사이트를 해킹하는 것을 시연한 적이 있어, SQL 인젝션을 뚫고 해킹했을 수도 있다"고 설명했다. SQL 인젝션 공격은 공격자가 웹사이트로 데이터베이스(DB) 명령어인 SQL을 보내, 운영자가 의도하지 않은 DB조작을 할 수 있게 만드는 수법이다.

이들은 홈페이지를 변조하고, 데이터베이스를 모두 탈취한 후 지워버렸다고 밝혔다.

이들은 향후 해킹 활동을 이어 나가겠다고 밝혀, 민간 기관과 정부의 발 빠른 대응이 요구된다. 이들은 국내 정부기관을 해킹해 54GB 데이터를 빼냈다고 주장하며, 조만간 해당 기관을 공개하겠다고 밝혔다. 또한 이들은 다음 타깃은 KISA라고 밝히기도 했으며, 30개의 언론사에 대해서도 작동을 못 하게 만들겠다고 밝히기도 했다.

KISA는 "12개 학술기관이 웹 변조를 당해 현재 각 기관에 연락해서 대응하고 있다"며 "추가 공격이 우려되니, 각 기업 담당자는 홈페이지 모니터링 강화 및 유지보수·위탁업체 연락체계 유지 등 사전 대응이 필요하며, 이슈 발생 시 KISA로 정보 공유를 요청해달라"고 밝혔다.

관련기사

이정호 과학기술정보통신부 장관도 지난 24일 KISA 인터넷침해대응센터를 방문해 사이버 공격 대응 현황과 비상대응 체계를 긴급 점검했다. 특히 사이버 공격에 대비하고 혹시 모를 침해사고 발생 시 신속한 복구로 피해를 최소화하기 위해 2만6천여 기업 정보보호최고책임자(CISO)들과 사이버위협정보공유시스템(C-TAS) 참여 기업에 관리자 계정 보안강화와 비상 신고채널 가동을 요구하는 내용의 긴급 상황을 전파했다.

사이버보안 전문가는 "민간 영역을 KISA에서 대응하긴 하지만, 민간 기관·기업 스스로도 보안을 잘해야 하며, 보안 시스템이 뚫렸을 때 조치를 빠르게 하는 것이 중요하다"며 "정부 기관도 대중적인 점검이 필요하다"고 말했다.