중국발 해킹 예고 현실로…상황 ‘예의주시’
중국 해커조직이 설 연휴 기간을 노려 우리나라 공공기관과 연구원 등 홈페이지를 대상으로 잇단 해킹 공격을 감행했다.
25일 과학기술정보통신부와 보안업계 등에 따르면, 중국 해커조직 ‘샤오치잉’은 대한건설정책연구원을 비롯해 우리말학회, 한국고고학회 등 12개 학술기관의 홈페이지를 해킹했다. 이들 홈페이지는 현재 열리지 않는 상태다. 한국인터넷진흥원(KISA)은 앞서 지난 22일 “중국 해커조직이 한국의 대한건설정책연구원을 해킹하고 내부 연구원 정보들을 유출하면서 한국정부기관 2000여개 홈페이지를 해킹하겠다고 선언했다”고 밝힌 바 있다.
예고된 공격이 감행됐지만 고도화된 기법은 아니라는 게 전문가의 설명이다. 문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “SQL 인젝션(Injection) 공격으로 그리 고도화한 해킹 기법은 아니다”라고 말했다.
SQL 인젝션은 조작된 SQL 질의문을 웹서버에 넣고 데이터를 열람한 뒤 유출·조작하는 기법이다. 문 센터장은 “해킹 의도는 조금 더 추이를 지켜봐야겠지만 현재로서는 해킹 실력을 뽐내려는 보여주기식으로 분석된다”고 말했다.
과기정통부는 현재까지 상황을 예의주시하고 자세한 피해 현황을 조사하는 중이다. KISA와 협력해 2만6000여개 기업의 정보보호최고책임자(CISO)와 사이버 위협정보공유시스템(C-TAS)에 참여하는 2300여 기업에 계정 보안 강화를 당부하고 비상 대응 체계도 가동했다.
과기정통부 관계자는 “공격에 사용한 IP 차단을 웹호스팅 업체에 요청하고, 취약점 점검 또한 진행하고 있다”며 “해킹된 웹사이트의 경우 KISA의 인터넷침해대응센터를 통해 소스코드 수정 등 기술 지원을 진행하는 중”이라고 설명했다.
우리나라에 사이버 위협을 가하는 건 비단 중국 조직뿐만이 아니다. 북한발 사이버 위협도 매섭다. 국가정보원은 지난해 말 하루 평균 118만여건의 사이버공격을 탐지하고 있다고 밝혔는데, 이 가운데 55.6%가 북한 소행으로 나타났다.
이들의 해킹 시도는 주로 고급 정보나 금전적 이익을 노린 것이 대다수라는 설명이다. 최근에도 국내 외교·안보·통일 분야 종사자를 노린 북한의 해킹 시도가 있었다.
이스트시큐리티에 따르면 지난해 12월 초, 북한 배후로 추정되는 해커 조직은 이메일을 보낸 뒤 회신 등 관심을 보인 인물에게 선별 접근하는 이른바 투트랙 스피어 피싱(Spear Phishing) 공격을 수행했다. 평소 흔하게 접할 수 있는 내용을 담은 메일로 별도의 첨부파일이나 URL을 의도적으로 넣지 않은 것이 특징이다. 사용자가 안심한 뒤 답신을 보내면 악성 파일이나 URL을 보내 해킹을 시도한다.
북한 해커 조직은 회신을 보낸 이들에게 연례학술회의 발제문 요청으로 사칭한 파일을 보냈다. 정상 PDF 문서처럼 보이도록 2중 확장자로 만든 ‘바로가기(LNK)’ 유형의 악성 파일이다. 파일에는 ‘mshta.exe’ 프로그램을 통해 특정 웹서버로 통신을 시도하는 명령이 포함됐다. 특히 2중 확장자 방식은 널리 쓰이는 수법으로, 예컨대 ‘중요 자료.PDF.LNK’ 파일이 있다면 ‘LNK’ 확장자 부분은 윈도우에서 보이지 않고 ‘중요자료.PDF’로만 보이는 맹점을 이용해 오픈을 유도한다.
메일 도메인을 속이는 수법도 목격된다. 지난주에는 다음카카오를 위장해 사용자들의 비밀번호를 탈취하려는 시도가 있었다. ‘daum.net’과 유사해 보이는 ‘daurn.net’을 발신 도메인으로 사용해 혼란을 유도하고, 본문을 통해 비밀번호 변경을 요구했다. 이 본문 안에 카카오 계정 관리 웹사이트를 위장한 피싱 하이퍼링크를 넣어, 이용자가 비밀번호 정보를 입력하면 해당 정보가 고스란히 공격자 서버로 전송되는 식이다.
문 센터장은 “북한발 해킹에서 주목할 점은 바로 타깃”이라며 “기자나 교수, 고위급 관료 등을 노린 해킹이 대다수”라고 말했다. 앞서 카카오 메일 비밀번호 탈취 시도 또한 고위 관료의 비밀번호가 샜다면 파급력이 컸을 거라는 분석이다.
특히 북한발 해킹은 개인의 소행이 아닌 국가 차원에서 양성한 해커들의 소행으로, 암호화폐 탈취나 인터넷 뱅킹 해킹 등 금전적 이익을 노린 전방위적 위협이 많다는 게 문 센터장의 설명이다.
러시아의 경우 직접 한국 기업이나 기관을 노린 경우가 상대적으로 많지는 않다. 문 센터장은 “최근에는 우리나라를 노린 직접적 해킹 사례가 거의 없기는 했다”면서도 “우크라이나 침공 이후 공급망 해킹을 감행함에 따라 우리나라도 간접적 영향권에 놓일 수 있다”고 바라봤다.
실제 러시아의 전방위적인 디도스(DDOS) 공격이 이뤄지며 우리나라 또한 주의를 내린 사례가 있다. 친러시아 해킹조직 ‘킬넷(Killnet)’은 지난해 2월부터 우크라이나에 우호적인 국가를 대상으로 DDOS 공격을 가했다. 미국 재무부와 공항, 일본 정부, 이탈리아 기업, 불가리아 정부 등에 공격을 감행하자 KISA는 국내에도 보안강화 실시를 권고했다.
문 센터장은 “우리나라도 우크라나 기타 러시아와 적대적 관계의 국가와 친밀한 관계를 맺을 경우, 러시아 해커들의 표적이 될 가능성이 있다”고 말해 언제든지 가시권에 놓일 수 있음을 시사했다.
일단 사이버 공격은 예방이 최선이다. 뚫리기만 하면 재산상 피해가 불가피해서다. 피해액도 만만치 않다. 한국정보통신보안윤리학회가 지난 2021년 12월 발간한 ‘사이버 침해사고의 경제·사회적 비용 추정 연구’ 보고서를 보면, 앞서 3년간 KISA에 침해사고를 신고해 지원 받은 기업 228곳 가운데 조사에 응한 49곳은 억대의 경제적 피해를 입은 것으로 나타났다.
침해사고의 평균 경제적 피해액을 기업 규모별로 보면 ▲대기업(20억9000만원) ▲중견기업(17억4000만원) ▲중소기업(4억4000만원) ▲비영리재단(2000만원) 등으로 나타났다. 사고 유형별로는 ▲랜섬웨어(13억8000만원) ▲DDoS(12억9000만원) ▲개인정보유출(4억9000만원) ▲홈페이지 변조(8000만원) ▲DB 삭제(6000만원) 등으로 조사됐다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
