설 연휴 중국발 해킹·디도스 12건..."해커, 과시 성향 있어"

2023-01-25 15:30
中 해커 조직, 보안 취약한 비영리 학회·협회 홈페이지 노려
정부, C-TAS 참여와 KISA 통한 웹 취약점 점검 당부
연휴 디도스 공격에 PC방 영업 중단 사례도 속출
PC조합 "IP 차단 만으론 한계...정부·망사업자 차원 대응 필요" 요구

해커 조직 샤오치잉으로부터 공격받은 국내 학회 홈페이지 갈무리 [사진=아주경제 DB]

즐거워야 할 설 연휴가 중국발로 추정되는 해킹·디도스 공격에 엉망이 됐다. 

25일 과학기술정보통신부와 보안 업계에 따르면 지난 20일 대한건설정책연구원을 해킹한 중국 사이버 공격 조직이 국내 학회 홈페이지 11곳을 추가로 공격했다. 현재 피해를 본 홈페이지는 메인 화면이 바뀌었거나 접속이 불가능한 상태다. 중국 해킹 조직은 우리말학회 등 국내 학회 11곳에 홈페이지 변조(디페이스) 공격을 24일 감행한 후 관련 내용을 '샤오치잉'이라는 이름의 텔레그램 채널에 게시했다.

피해를 입은 곳은 △우리말학회 △한국교원대학교 유아교육연구소 △제주대학교 교육과학연구소 △한국학부모학회 △한국고고학회 △한국보건기초의학회 △한국사회과수업학회 △한국동서정신과학회 △한국시각장애교육재활학회 △한국교육원리학회 △대한구순개열학회 등이다.

이 조직은 기관·학회·대학부설연구소 등 2561개 명단이 담긴 문서 파일을 공유하며 "이 목록으로 뭔가 흥미로운 것을 할 수 있을 것"이라고 경고했다. 목록에는 한국전자통신연구원, 통일연구원, 한국국방연구원 등 정부 산하 기관도 상당수 포함됐다.

이들은 개인 정보 유출도 함께 시도했다. 앞서 샤오치잉 명의 블로그에는 대한건설정책연구원 홈페이지에서 유출된 것으로 추정되는 직원과 관계 기관·기업 정보 등이 게시됐다. 이와 함께 각각 54.2GB, 4.82GB 규모의 데이터를 정부기관 홈페이지에서 빼돌렸다고 주장하고 있다. 실제로 이달 7일에는 오픈소스 커뮤니티 '깃허브'에 국내 기업·기관 구성원 161명의 개인정보를 노출하기도 했다. 여기에는 소속, 이름, 아이디·비밀번호, 휴대전화 번호, 주소 등 구체적인 신상 정보가 포함돼 있다.

해킹 조직은 사이버 공격 조직 '코드코어'로부터 국내 웹사이트 취약점을 입수했다며 국내 홈페이지 공격 예고 수위를 높여가고 있다. 코드코어는 지난해 국내 97개 웹사이트 취약점을 공개한 곳이다.

또, 설 연휴 동안 전국 일부 PC방이 사용 중인 인터넷 회선과 관계 없이 중국·러시아 해커 소행으로 추정되는 디도스(트래픽) 공격을 받아 대목임에도 장사를 제대로 하지 못하는 피해를 입었다. 

대부분의 PC방이 개별 PC 대신 네트워크로 게임 파일을 주고받는 '노하드' 시스템으로 운영되는 만큼 디도스 공격을 받으면 제대로 된 영업이 불가능하다. 게임·인터넷 반응 속도가 크게 느려져 손님들도 발길을 돌릴 수밖에 없다.

피해를 본 PC방 업주들은 코로나 타격에서 간신히 회복하고 있는 상황인데 디도스 공격으로 연휴 장사를 망침에 따라 더는 버틸 수가 없다고 호소하고 있다.

이에 약 200명으로 추산되는 전국 PC방 업주들은 한국인터넷PC카페협동조합 명의로 과기정통부·한국인터넷진흥원(KISA)에 구체적인 피해 조사와 재발 방지를 위한 탄원서를 제출할 계획이다. 또한 이들은 정부에 대규모 디도스 공격을 막아내고 빠르게 복구할 수 있는 방안을 요구할 계획이다.

◆中 해커 공격에 사이버 보안 흔들려
 
대규모 공격을 펼친 해커 조직 '샤오치잉'은 블로그와 텔레그램에 지속해서 게시글을 올리며 한국의 사이버 보안 수준을 폄훼했다. 피해를 입은 단체는 대부분 기업과 비교해 보안이 상대적으로 취약한 민간 학회 홈페이지 등이며 보안 강화 대책 마련 필요성이 제기된다.

실제로 25일 오전 1시 34분에는 샤오치잉 이름으로 된 텔레그램에 국회 정보위원회 '사이버 공격을 통한 첨단산업 비밀유출 실태 및 대응 방안 보고서'가 공유되기도 했다.

이들은 "(피해를 입은 단체가) 대응 방안을 제대로 지키지 않은 것 아닌가 생각한다"며 "한국 정부는 지금까지 12개 피해 사례를 발표했지만 우리는 더 많은 데이터베이스와 웹 사이트를 삭제했다"고 주장했다. 그러면서 "우리 리포지토리(프로그램 저장소)를 누군가가 추적했지만, 주소를 바꿨다"며 여유로운 모습을 보였다.

민간 단체 홈페이지는 네이버 등 다중 이용 서비스와 비교해 하루 이용자 수가 크게 적으며 별도 운영 인력을 두지 않은 곳이 많다. 개발 등은 외주 업체를 이용하는 만큼 보안 관련 이슈에 실시간으로 대응하기 어려운 상황이다.

보안업계 관계자는 "학회, 협회, 비영리법인 웹사이트가 굉장히 많은데 웹사이트 구현이 온프레미스(구축형) 기반 구현 방식으로 돼 있고 전담 관리자가 없어 보안에 취약하다"고 설명했다.

과기정통부는 현재 피해를 입은 단체 관리자를 대상으로 기술 지원을 진행하고 해킹 예방 차원에서 공격 대상으로 지목된 단체에 대해 보안 점검을 진행할 것을 요청했다. 웹 호스팅, 클라우드 등 위탁관리 업체와도 상시 협력채널을 운영하는 등 웹사이트 운영 단체와 소통을 강화하고 있다.

다만 세부적인 대응 현황을 적극적으로 알리는 것은 조심스러워야 한다는 의견이다. 해킹 조직이 한국 정부 측 대응을 자신들 성과로 포장하고 대응 방식을 우회하는 공격이 이뤄질 수 있기 때문이다.

과기정통부 관계자는 "이번 공격 조직은 성과를 과시하는 성향이 강하다"며 "(대응할 때) 해커가 기고만장하지 않도록 하는 것이 중요하다"고 설명했다.

소규모 웹사이트 운영 단체에 대해서는 '사이버 위협정보 분석공유 시스템(C-TAS)' 가입을 당부했다. 여기서 전파되는 정보를 통해 취약점을 주기적으로 점검해야 한다는 것이 과기정통부 측 설명이다. 이어 중소기업, 비영리단체, 협회 등은 KISA 웹 취약점 점검 서비스를 통해 문제를 확인하고 제안하는 조치 사항을 적용해 달라고 조언했다.
 

PC방. 본 사진은 기사 내용과 무관합니다. [사진=연합뉴스]

◆디도스 공격당한 전국PC방들··통신 3사 "피해 복구 위해 노력 중"

연휴 동안 PC방에 디도스 공격을 한 해커는 아직 특정되지 않은 상황이다. 다만 업계에선 이들이 과시나 정보 유출보다 영업 방해에 초점을 맞추고 있는 것으로 보고 있다. 

실제로 중국·러시아 다크웹이나 텔레그램 등에선 비트코인으로 일정 비용만 주면 특정 IP 대역에 대한 디도스 공격을 해주겠다는 게시물을 쉽게 찾아볼 수 있다.

디도스 공격은 의뢰자와 공격자 추적에도 많은 시간이 걸리고 검거에도 현실적인 한계가 있기 때문에 PC방·정부·망 사업자가 빠르게 대응하는 게 최선이다.

현재 시중에는 PC방 대상 디도스 공격 방어 솔루션이 판매되고 있지만 영세한 업체가 대부분인 PC방 업주들로선 쉽게 도입을 결정할 수 없다. KISA가 중소·영세기업의 디도스 공격 방어를 위한 '디도스 사이버 대피소'를 운영 중이지만 홈페이지 등 웹 서비스만 대상으로 하고 있어 네트워크 자체를 영업 수단으로 삼는 PC방 업주들은 이용하기 어렵다.

LG유플러스, KT, SK브로드밴드(SKB) 등 PC방 전용망 사업을 하는 통신 3사는 현재 디도스 공격이 있으면 백홀로 트래픽을 자동 분산하는 방어 솔루션을 운영 중이며 사업주들의 빠른 영업 복구를 위해 최선을 다하고 있다고 밝혔다. 업계에 따르면 현재 PC방 전용망 시장 점유율은 5(LG유플러스)대 4(KT)대 1(SKB)로 추산된다.