홈페이지 얼굴 바꾼 ‘샤오치잉’발 디페이스 해킹…대처 방안은?

By이진호

중국 해커조직 ‘샤오치잉'(Xiaoqiying)이 설 연휴 동안 다수의 국내 학술기관 홈페이지를 해킹한 가운데 이들이 사용한 수법에 관심이 쏠린다. 홈페이지 대문을 바꾸는 수법을 쓰는 등 요란한 소동이 일어났다. 실질적인 피해 규모는 크지 않지만 복구에는 다소 시간이 소요될 전망이다.

30일 보안 업계와 한국인터넷진흥원(KISA)에 따르면 설 연휴 기간 샤오치잉은 우리말학회와 한국고고학회, 한국학부모학회 등을 비롯해 12개 학술 기관·학회의 홈페이지를 해킹했다. 이들 홈페이지 일부는 아직까지 제대로 접속되지 않는 등 장애가 이어지고 있다. 해킹이 막 수행됐던 지난주에는 홈페이지 메인 화면이 바뀌는 등 한바탕 소동이 일었다.

해당 웹사이트에는 ‘SQL 인젝션(Injection)’ 공격이 수행된 것으로 분석되고 있다. 또한 ‘웹쉘(Web shell)’ 수법을 통해 이른바 ‘디페이스(Deface)’ 해킹이 가해졌다는 게 업계의 분석이다.

샤오치잉 로고. 샤오치잉은 로고와 함께 한국 인터넷 침입을 선포한다’ 등의 메시지를 해킹한 웹사이트 메인에 띄웠다. (사진=샤오치잉 홈페이지)

SQL 인젝션은 조작한 SQL 질의문을 웹서버에 넣고 데이터베이스(DB)에 든 정보를 열람한 뒤 유출·조작하는 기법이다. 특정 데이터 테이블을 조작하는 명령을 넣거나 계속해서 원하는 SQL을 입력해 원하는 데이터에 접근하는 식이다. 예를 들어 ID나 글의 제목 정도만 검색할 수 있게 만든 웹사이트라도, 이 외에 외에 ID, 생년월일, 이메일 주소 같은 개인정보를 질의하는 SQL 명령을 넣어 이를 빼내는 형태다.

샤오치잉은 이를 통해 웹사이트 DB에 침입했고 일부 뉴스레터 구독자나 회원 일부의 이메일 정보를 빼낸 것으로 전해졌다. SQL 인젝션 공격은 보안 솔루션과 지속적인 모니터링으로 잡아낼 수 있다. 하지만 해당 기관들은 별도의 보안 담당자가 없었고, 보안 솔루션 운영이나 취약점 점검 등이 제대로 이뤄지지 않아 쉽게 구멍이 뚫렸다.

샤오치잉은 디페이스 공격을 통해 자신들의 로고와 함께 한국 인터넷 침입을 선포한다는 메시지를 띄우며 해킹 실력을 과시했다. 우리 말로 ‘화면 변조’를 뜻하는 디페이스는 웹쉘 공격과 맞물려 이뤄졌다. 웹쉘은 업로드 취약점을 파고들어 원격으로 시스템에 명령을 내리는 수법이다. 이번 해킹에는 디렉터리 조작과 파일 다운로드와 업로드 모두 가능한 종합 웹쉘 등이 활용됐다는 게 SK쉴더스의 분석이다.

본래는 게시판이나 관리자 페이지 등 정해진 루트로만 파일을 업로드할 수 있지만, SQL인젝션으로 업로드가 가능한 확장자를 조작하거나 업로드가 가능한 루트를 뚫어 웹쉘 공격을 수행했을 거란 설명이다. 관리자 권한을 가졌으니 DB와 시스템 전반에 접근할 수 있었고, 이에 따라 홈페이지 소스코드를 바꾸거나 업로드한 이미지를 노출할 수 있었다는 이야기다.

특히 웹쉘 공격이 제대로 성공하면, 해당 시스템의 모든 디렉토리를 확인할 수 있다. CMD 창에 특정 명령을 넣어 시스템을 먹통으로 만들거나 소스코드를 바꿔 사이트 연결을 꼬이게 만들 수 있다. 악성코드를 심어 놓고, 당장이 아니라 일정 시간 이후에 해킹을 수행하는 것도 가능하다.

김성동 SK쉴더스 탑서트(Top-CERT) 팀장은 “SQL인젝션을 통해 업로드 취약점을 파악해 웹쉘 공격으로 내부 정보(소스코드와 사용자 데이터 등)를 확인한 다음, 해킹의 마지막 단계로 디페이스를 수행한 것으로 분석된다”고 말했다.

업계에서는 데이터를 잠그고 금전적 대가를 요구하는 랜섬웨어 공격에 비해서는 실질적인 피해는 크지 않은 것으로 본다. 또한 보안 취약점 점검을 주기적으로 진행한 웹사이트는 공격을 걸러낼 수 있다는 설명이다. 김성동 팀장은 “이미 공격이 알려진 상황이고 수법 또한 기초 수준이라 대형 포털이나 카카오 등 주요 사이트의 보안은 뚫을 수 없을 것으로 본다”고 말했다.

단 피해를 입은 사이트 복구에는 시간이 걸릴 전망이다. 과학기술정보통신부와 KISA는 현재 정확한 피해 원인과 규모 조사를 진행하고 있다. 샤오치잉은 자신들의 텔레그램을 통해 총 41곳의 기관·단체를 해킹했다고 주장했다.

그러나 KISA는 이미 확인된 ▲우리말학회 ▲한국고고학회 ▲한국학부모학회 ▲한국교원대 유아교육연구소 ▲한국보건기초의학회 ▲한국사회과수업학회 ▲한국동서정신과학회 ▲대한구순구개열학회 ▲한국시각장애교육재활학회 ▲제주대 교육과학연구소 ▲한국교육원리학회 등 12곳만 피해를 입은 것으로 파악하고 있다.

KISA 관계자는 “해커가 웹사이트에서 정확히 어떤 정보를 탈취했는지 확인하고 있다”면서 “근본적인 보안성 강화을 위해 호스팅 서비스를 재구성하는 중”이라고 말했다. 이 관계자는 “완벽한 복구에는 다소 시간이 걸릴 전망”이라고 덧붙였다.

KISA측은 웹 방화벽(WAF)을 활용해 외부에서 유입되는 SQL 인젝션 공격을 차단해야 한다고 조언했다. 비정상 IP 접속을 차단하고, 특정 IP당 로그인 시도 횟수에 한계를 걸어 사용자 계정 보안을 강화하라고도 강조했다. KISA 관계자는 “계정 정보가 탈취되면 보안 모두가 뚫리는 것이나 마찬가지”라며 “주기적인 웹취약점 점검을 진행하고 서버에 불필요한 포트나 서비스가 연결돼 있는지 확인해야 한다”고 강조했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다