국내 학술기관 홈페이지를 해킹한 중국 해킹 그룹 '샤오치잉(晓骑营)'이 깃허브에 161명의 개인정보도 유포한 것으로 추정됐다.
26일 한국인터넷진흥원(KISA)은 최근 오픈소스 커뮤니티 '깃허브'에 161명의 개인정보를 유출한 유포자는 '샤오치잉'으로 추정된다고 밝혔다.
KISA 관계자는 "깃허브에 올라온 아이콘이 샤오치잉이 쓰는 아이콘과 같아, 유포자가 샤오치잉인 것으로 추정하고 있다"고 말했다.
■ 깃허브에 유포된 개인정보, 언제·어디서 유출됐는지는 미파악
깃허브에는 이달 초 161명의 이메일, 아이디, 비밀번호, 휴대전화 번호, 직장 전화번호, 직장 주소 등 구체적인 개인 정보가 올라왔다. 현재 해당 페이지는 접속이 불가능하다.
이들의 전화번호와 직장을 일부 대조해본 결과, 유포된 이들의 소속은 ▲LG전자 ▲LG화학 ▲삼성전기 ▲포스코 ▲식품의약품안전처 ▲국립수산과학원 등으로 확인됐다.
해당 정보가 언제, 어디서 유출됐는지는 아직 파악되지 않았다. 개인정보가 적혀진 엑셀에는 탭 정보가 없어 출처 확인이 어려운 것으로 알려졌다. KISA 관계자는 "이 해커조직이 다른 곳에서 확보한 정보를 자신들이 해킹해 얻은 정보라고 꾸며냈을 수도 있기 때문에 지금 상황에서는 어디서 유출된 정보인지 확인하기 어렵다"고 말했다.
■ 2021년부터 활동한 '샤오치잉'은 누구?…"국가 배후 조직 단정 어려워"
샤오치잉은 지난 22일 대한건설정책연구원 홈페이지를 해킹했으며, 이외에 우리말학회, 한국보건기초의학회 등 11개 학술기관의 홈페이지를 해킹한 중국 미상해커조직이다. (☞관련기사)
국내 보안전문가에 따르면 샤오치잉은 2021년부터 활발히 활동해 온 것으로 알려졌으며, 이들의 전신은 '텅 스네이크(Teng Snake·腾蛇)'로 확인됐다. 전 세계 각국을 대상으로 해킹을 일삼는 조직으로, 조직명은 텅 스네이크 이외에도 GDP, 코드 코어(Code Core), 화이트 던(White Dawn), 제니시스 데이(Genesis day) 등 다양하게 사용하는 것으로 알려졌다.
이번에는 샤오치잉이라는 조직명으로 활동하며 새로운 조직원을 모으고 있다. 지난 21일 이들은 조직원이 17명까지 늘었으며, 앞으로 더 늘어날 것이라고 밝혔다. 샤오치잉은 중국 진나라 시절의 군사조직을 부르는 명칭이다.
이들은 한자로 소통하고 주로 중국인이 포함돼 있지만, 중국 배후 국가 조직이라고 단정하기에는 어렵다는 게 전문가들의 의견이다. 이들은 스스로 중국 정부를 위해 일하지 않으며, 자유 의지로 활동하고 있다고 밝히기도 했다. KISA 관계자는 "이 해커 조직을 중국 배후 조직이라고 특정할 수 없다"며 "미상의 해외 해커조직으로 봐야 한다"고 말했다.
아직 이들이 금전적인 요구를 한 정황은 없는 것으로 확인됐다. 과기정통부 관계자는 "이들이 웹페이지를 변조한 데에 따른 요구사항은 없었다"고 말했다.
이들이 한국을 타깃으로 삼은 이유는 명확하지 않다. 이들은 지난 24일 성명을 통해 한국을 해킹 훈련장으로 사용할 것이라며, 한국 스트리밍 스타가 자신들을 화나게 했기 때문이라는 석연치 않은 이유를 밝혔다.
전문가들도 아직 이들의 해킹 목적을 섣불리 판단하긴 어렵다고 말했다. KISA 관계자는 "우리나라를 타깃으로 한 이유는 현재 알 수 없으며, 이들을 심문하지 않는 이상 그 이유를 함부로 추정하긴 어렵다"고 말했다. 보안 전문가는 "한국은 인터넷 인프라가 좋기 때문에 해킹할 수 있는 타깃도 많기 때문일 수 있다"고 추정했다.
■ KISA와 정부기관 해킹 예고…"아직 해킹 조짐 없어"
샤오치잉은 향후 KISA와 정부기관을 대상으로 해킹을 예고하기도 했다. 하지만 아직까지 KISA와 정부 기관을 대상으로 해킹 조짐은 없는 것으로 확인됐다. KISA 관계자는 "아직 KISA에 대한 공격 징후가 크게 보여지진 않았다"며 "과시 목적이 있는 것 같다"고 말했다. 과학기술정보통신부 관계자 또한 "현재 모니터링 인력을 늘렸고 비상대응 체계 운영 중에 있다"며 "아직 공격 조짐은 없다"고 말했다.
관련기사
- 中 해킹그룹, 국내 학술기관 12곳 해킹…추가 공격 예고2023.01.25
- FBI "1억 달러 암호화폐 훔친 北 해커는 라자루스와 APT38"2023.01.26
- "고속도로 휴게소 '공짜 와이파이' 사용 주의하세요"2023.01.24
- 카카오팀으로 위장한 악성 피싱메일 등장…"해외지역서 로그인됐다고 속여"2023.01.20
정부는 이들 그룹이 과시 목적을 가지고 있는 것으로 보고 차분히 대응한다는 방침이다. 과기정통부 관계자는 "해커가 과시 목적으로 웹변조 공격을 한 것으로 보여 이에 동조되지 않기 위해 최대한 노력해 대응하고 있다"며 "기존 웹변조 공격을 당한 학술기관 홈페이지들은 소규모로 영세한 곳들이어서 보안 관리가 소홀했던 것 같아 웹 호스팅업체에도 보안 요청을 하고 있다"고 말했다. 이어 "추가 다른 웹사이트에 대한 변조는 아직까지 확인된 바 없다"고 밝혔다.
보안 전문가에 따르면 이들 그룹은 현재 압박을 느끼고 일부 조직원이 탈퇴한 것으로 알려졌다. 보안 전문가는 "현재 이들 그룹은 정부의 대응으로 조금씩 압박을 느껴 조직원 몇 명이 탈퇴하기도 해 새로운 팀원을 더 모집하고 있다"고 말했다.