​돌연 활동 중단 선언한 中 해커... 진위 여부는 불투명

샤오치잉 조직 홈페이지 첫 화면. [사진=아주경제]

국내 학술단체 홈페이지 등을 연이어 공격한 중국 해커 조직 '샤오치잉'이 돌연 한국 내 활동을 중단한다고 선언했다. 하지만 조직 구성원을 추가로 영입한다고 밝히고, 하루 전인 18일에도 해킹으로 유출한 자료를 유포하는 등 활동 중단 선언의 진위는 의심스러운 상황이다.

19일 보안 업계에 따르면 이들은 자신이 운영하는 텔레그램에 "후속조치 없이 한국 내 행동을 여기서 끝낸다"는 게시물을 이날 오전 3시 25분께 올렸다.

물론 순순히 물러난 것은 아니다. 앞서 18일에는 한국인정지원센터에서 유출한 것으로 추정되는 자료를 유포했다. 한국인정지원센터는 산업통상자원부 산하 재단법인으로, 품질·환경 분야를 포함한 경영시스템 인증과 자격인증 분야 인정기관이다.

유출된 자료에는 사용자 ID, 비밀번호, 이름, 이메일, 전화번호, 생년월일, 근무지, 직함 등 다양한 정보가 포함돼 있는 것으로 파악됐다. 특히 사용자 이메일 주소를 정부기관(go)이나 연구기관(re)으로 구분해 정리하는 등 치밀함을 보였다. 다만 해당 목록에서 016, 017 등 오늘날 잘 쓰이지 않는 휴대전화 번호가 포함돼 있어, 오래된 정보일 가능성도 있다. 현재 한국인정지원센터 홈페이지는 시스템 점검을 이유로 서비스를 일시 중단했다.

관련기사

• 韓 대표 편의점 'CU' 홈페이지도 털렸다...中 해커조직 위협 현실화
• ​보안 취약한 단체만 노리는 中 해커... 이번엔 유출 서버 파일 40여 개 공개

그간 샤오치잉 조직은 민간 학술·교육단체 등을 주로 노려왔다. 하지만 최근 공격 수위를 높이고 있다. 이달 들어 국내 대형 편의점 체인 홈페이지를 공격했으며, 이번에는 산업부 산하 재단법인을 노리는 등 피해 대상이 확대되는 추세다.

특히 18일 오후 8시 5분께 "우리 팀에는 이미 세 명의 한국인 구성원이 있다"며 "합류하는 사람에게 권한, 제로데이 취약점, 내부 자료, 바이러스 라이브러리 등을 공유한다"고 밝혀 활동 중단 선언의 진위여부는 불투명하다.

보안 전문가들은 이들이 SQL 주입 등 기초적인 수준의 공격 기술을 사용한다고 평가했다. 상대적으로 보안이 허술한 소형 홈페이지를 노려 공격한 뒤, 성과를 부풀려 과시했다는 설명이다.

하지만 보안 학계에서는 상대적으로 규모가 작은 보안 사고도 가볍게 넘겨서는 안 된다고 지적했다. 이메일 등 단순한 정보가 유출되더라도 이를 악용한 사회공학적 공격이 가능하기 때문이다.

실제로 이번 공격에서 유출된 정보에는 ID와 비밀번호, 이메일 등 온라인에서 쓰이는 주요 정보가 포함돼 있다. 유출 피해자가 여러 서비스에서 동일한 ID와 비밀번호를 사용한다면 쉽게 표적이 될 수 있다. 이메일과 개인정보를 악용한 표적 공격도 가능하다. 이에 따라 민간 단체나 소규모 기관도 기본적인 보안 수칙을 준수하는 등 정보 유출에 대한 경각심을 키워야 할 것으로 보인다.

한편, 샤오치잉 조직은 지난달 20일 비영리 재단법인에 대한 공격을 시작으로 각종 학회와 교육단체 홈페이지를 해킹하며 이름을 알렸다. 지난 15일에는 국내 편의점 브랜드 홈페이지 서버 중 일부를 해킹했는데, 피해 기업이 공격 확산 방지를 위해 서버를 차단하면서 일부 서비스 동작이 멈추기도 했다.