웹호스팅 업체 보안 엉터리… 中해커들 韓학술기관 쉬운 멋잇감

우리나라 공공기관 등에 대한 사이버 공격을 예고했던 중국 해킹 그룹이 25일 실제로 우리말학회를 비롯한 12개 학술기관 홈페이지를 해킹했다. 고난이도 해킹 수법 없이 해킹에 성공했다. 결정적 요인은 이들 기관이 보안이 견고하지 않은 웹호스팅 업체에 의존했기 때문인 것으로 나타났다.

해킹을 감행한 곳은 중국에 기반을 둔 것으로 추정되는 해커조직 ‘샤오치잉(晓骑营)’이다. 샤오치잉은 2021년부터 활발히 활동해 온 조직이며, 이들의 전신은 '텅 스네이크(Teng Snake·腾蛇)'로 알려졌다. 샤오치잉은 전 세계 각국을 대상으로 해킹을 일삼고 있다.

샤오치잉은 12개 학술기관 이외에 정부 부처와 유관기관도 공격했지만, 시스템 감시 기능에 의해 자동 차단됐다. 정부는 경계 태세를 더욱 높여 대응하기로 했다. 샤오치잉은
한국인터넷진흥원(KISA)을 비롯해 국내 정부 기관과 언론사 등 2000여곳을 다음 목표로 지목했다.

해킹 피해를 본 곳은 우리말학회, 한국고고학회, 한국학부모학회, 한국교원대학교 유아교육연구소, 한국보건기초의학회, 한국사회과수업학회, 한국동서정신과학회, 대한구순구개열학회, 한국시각장애교육재활학회, 제주대학교 교육과학연구소, 한국교육원리학회 등 총 12 곳이다. 대부분 보안이 취약한 소규모 비영리 연구·학회 웹사이트다.

해킹된 12곳 중 6곳은 같은 웹호스팅(중소기업의 서버나 인터넷 홈페이지를 위탁받아 관리해 주는 것) 업체를 이용하고 있다. 다른 5곳 역시 또 다른 동일한 웹호스팅 업체를 사용하고 했다.

샤오치잉이 사용한 해킹 기법은 웹사이트를 관리하는 웹호스팅 업체의 서버를 직접 해킹한 것이 아닌, 악성코드로 홈페이지 관리자 권한을 취득한 후 화면을 변조하는 방식이다. 해킹을 당한 기관들은 보안이 견고하지 않은 웹호스팅 업체에 의존해 온라인 페이지를 운영했다. 별도의 보안 책임자가 없으니 막기 쉬운 해커 공격에도 피해를 입었다. 해커의 공격은 24일 발생했지만, 해킹 후 하루 동안 웹사이트가 방치되는 일도 있었다.

샤오치잉은 24일 다크웹을 통해 한국 교육부와 관련된 웹사이트 70개를 공격해 웹사이트를 삭제했다고 밝히면서 리스트를 공개하기도 했다. 하지만 KISA 측이 밝힌 해킹 피해 사이트는 총 12개로 차이가 있다. 샤오치잉 측의 주장은 사실이 아닌 것으로 보인다.

과학기술정보통신부는 샤오치잉이 개인 정보 탈취에도 직접 관여했는지는 아직 확실치 않다고 전했다. 과학기술정보통신부와 KISA 등 보안 당국과 국가정보원, 경찰은 해킹 범죄자 추적 등 수사 공조를 시작했다.

보안업계 전문가는 "샤오치잉이 이번에 시도한 수법은 그리 복잡하고 고도화된 기술은 아니기 때문에 추가로 대규모 해킹이 발생하지 않을 것으로 보인다"면서도 "추가적인 피해가 발생하지 않게 이들의 상황을 주시하며 감시할 필요가 있다"고 말했다.

이유정 기자 uzzoni@chosunbiz.com